<< Предыдущая

стр. 49
(из 71 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

которых затруднительно.
"Рис. 6. Технология печати с использованием специальных карт"

Вторая технология (рис. 7) позволяет использовать карты с шероховатой поверхностью и не
регламентирует материал (это могут быть ПВХ ABS, поликарбонат и другие карты с "тяжелыми"
поверхностями). Дело в том, что во втором случае изображение наносится сначала на специальную
прозрачную трансферную ленту, затем под действием температуры и давления часть этой ленты
припекается к пластиковой карте. Таким образом, изображение оказывается между пластиковой картой и
частью трансферной ленты.
Основными производителями принтеров на данный момент являются: DataCard Corp., CIM Card
Identification Machines, Fargo Electronics, Eltron International Magicard/Ultra Electronics.
"Рис. 7. Технология печати с использованием трансферной ленты"

Термоперезаписывающий способ печати ("нагрев плюс давление")

Термоперезаписывающий способ печати на пластиковых картах (рис. 8) основан на
использовании химической реакции между специальным красящим веществом и проявителем. Смесь
красящего вещества и проявителя нагревают до температуры кипения (как правило, она составляет
+170 С°). Если после нагрева к карте применить "быстрое охлаждение", результатом станет
напечатанное изображение. Если же после нагрева карту "остужать" в течение относительно
продолжительного промежутка времени, изображение на карте исчезает.
Эту технологию печати успешно используют при персонализации клубных карт, дисконтных,
идентификационных, карт контроля доступа.
Карточки с подобной технологией печати можно перезаписывать до 500 раз. Благодаря хорошей
разрешающей способности печати на данных картах можно печатать не только текст, но и изображения.
"Рис. 8. Термозаписывающий способ печати"

Термохромный способ

Термохромный способ печати аналогичен способу "нагрев плюс давление". Отличительной
особенностью является воздействие на специальную красящую фольгу, которая находится на
поверхности карты. Схема химической реакции практически идентична способу "нагрев плюс давление":
под воздействием температуры и давления "проступает" изображение на поверхности красящей фольги
карты (рис. 9). Как правило, фольга бывает нескольких цветов - черного, синего, серебряного.
Изображения, получаемые при способах "нагрев плюс давление" и "термохромном", являются
монохромными.




"Рис. 9. Термохромный способ печати"

Струйный способ печати

Струйный способ печати на пластиковых картах является самым молодым и одновременно
самым старым.
Красящее вещество (красное, синее, желтое, черное) находится в жидком состоянии в
специальных картриджах. Изображение, получаемое с помощью такого принтера, может иметь
разрешение в два раза больше, чем с помощью сублимационной и термотрансферной печати, - 600
точек на дюйм. Правда, скорость печати будет невелика: около 50 полноцветных карт в час. Принтер
может печатать как полноцветные, так и монохромные изображения.
Не следует забывать о специализированных "принтерах" для печати телефонных и GCM-карт
(монохромных), которые являют собой примеры самой первой и самой быстрой графической
персонализации.
О стандартизации и сертификации производства пластиковых карт

Как и любой другой продукт, пластиковая карта должна обладать потребительскими свойствами
и удовлетворять потребности покупателя не только с точки зрения ее функциональности, но и качества,
и способов последующей переработки, утилизации и экологической безопасности. Целям обеспечения
качества служит, во-первых, стандартизация производства, а во-вторых, сертификация, т.е. проверка на
соответствие стандартам.
Первоначально организация работ по стандартизации шла по трем направлениям:
стандартизация внутри фирмы (предприятия); стандартизация, объединяющая ряд промышленных
ассоциаций; национальная стандартизация. Первая национальная организация по стандартизации -
Британская ассоциация (British Engineering Standards Association) была организована в 1901 г.,
значительно позднее - во время Первой мировой войны - возникли Датское бюро (1916 г.), Германский
комитет (1918 г.), Американский комитет (1918 г.) и др. И лишь затем пришло понимание необходимости
международного центра, объединяющего всю работу по стандартизации. В 1926 г. создана
Международная ассоциация национальных организаций по стандартизации (ИСА - Internanional
Snandard Assotiation), в которую вошли 20 стран. В 1938 г. в Берлине на Международном съезде по
стандартизации образованы 32 комитета и подкомитета по различным отраслям техники (в 1939 г.
Вторая мировая война прервала деятельность ИСА).
Сейчас международная стандартизация проводится Международной организацией по
стандартизации ИСО (International Organization for Standartization), которая была основана в 1946-1947 гг.
и находится в ведении ООН. У истоков ИСО стояли две организации: уже упоминавшаяся ИСА и UNSCC
- Комитет по координации стандартов при ООН, основанный в 1944 г., со штаб-квартирой в Лондоне.
Цель создания ИСО - "облегчение координации и унификации промышленных стандартов в
международном масштабе. Приоритеты ИСО: качество, информационные технологии, кооперация с
другими организациями в работе над международными стандартами, окружающая среда, образование.
До 1972 г. документы ИСО по стандартизации рассматривались как рекомендации. В настоящее время
такие документы имеют статус международных стандартов для всех стран - членов ИСО. Сегодня
членами ИСО являются более 120 стран.
В России на сегодняшний день существует 21 национальный стандарт в области пластиковых
карт*(145), на законодательном уровне определено само понятие стандартизации. В соответствии с
Федеральным законом РФ от 27.12.2002 N 184-ФЗ "О техническом регулировании" стандартизация - это
деятельность по установлению правил и характеристик в целях их добровольного многократного
использования, направленная на достижение упорядоченности в сферах производства и обращения
продукции и повышение конкурентоспособности продукции, работ или услуг. Стандартизация
осуществляется в целях повышения уровня безопасности жизни или здоровья граждан, имущества
физических или юридических лиц, государственного или муниципального имущества, экологической
безопасности, безопасности жизни или здоровья животных или растений и содействия соблюдению
требований технических регламентов; повышения уровня безопасности объектов с учетом риска
возникновения чрезвычайных ситуаций природного и техногенного характера; обеспечения научно-
технического прогресса; повышения конкурентоспособности продукции, работ, услуг; рационального
использования ресурсов; технической и информационной совместимости; сопоставимости результатов
исследований (испытаний) и измерений, технических и экономико-статистических данных;
взаимозаменяемости продукции.
В ГОСТ Р 50779.11-2000 дано следующее определение качества: "Качество - совокупность
свойств и признаков продукции или услуги, которые влияют на их способность удовлетворять
установленные или предполагаемые потребности". Весь мир работает над системой обеспечения
качества - от изучения рынка до утилизации продукции без ущерба для окружающей среды. В целях
оценки качества проводится сертификация продукции или услуг на соответствие требованиям
стандартов. Назначение сертификации - показывать потребителю, что приобретаемый им товар или
услуга прошел сертификацию и гарантировано постоянное соответствие товаров (услуг) техническим
требованиям. Подтверждением качества является сертификат, выданный независимой компетентной
организацией на основании положительных результатов испытаний на соответствие требованиям
стандартов. Результаты испытаний, в свою очередь, основываются на достоверных результатах
измерений во время испытаний, единство которых обеспечивается и гарантируется российской системой
измерений, основой которой является Государственная метрологическая служба России с ее
государственными эталонами единиц физических величин.
Сертификация проводится в соответствии с определенными схемами, предусматривающими
совокупность действий, направленных на доказательство соответствия продукции, работ (процессов) и
услуг заданным требованиям. Различают обязательную и добровольную сертификацию. Обязательная
сертификация осуществляется в случаях, предусмотренных законодательными актами Российской
Федерации. В частности, обязательной сертификации в установленном порядке подлежат товары
(работы, услуги и средства), на которые законами или стандартами установлены требования,
обеспечивающие безопасность жизни, здоровья потребителя и охрану окружающей среды и
предотвращение нанесения вреда имуществу потребителя. Не допускается продажа товара
(выполнение работ, оказание услуг), в том числе импортного товара, без информации о проведении
обязательной сертификации. Основным требованием обязательной сертификации является
обеспечение безопасности продукции, работы (процесса) и услуги для жизни, здоровья и имущества
потребителей, а также окружающей среды. При обязательной сертификации действие сертификата и
знака соответствия распространяется на всю территорию Российской Федерации.
Добровольная сертификация проводится в целях подтверждения соответствия продукции
требованиям стандартов, технических условий и других документов, определяемых заявителем. В
настоящее время к объектам добровольной сертификации в системе ГОСТ Р относятся системы
качества, производства, а также продукция, работа и услуги, не подлежащие обязательной
сертификации.
Таким образом, по действующему российскому законодательству производство пластиковых карт
не подлежит обязательной сертификации, а только добровольной. К сожалению, ситуация с
добровольной государственной сертификацией российскими производителями пластиковых карт своего
производства в настоящее время такова, что большинство из них не хотят запускать эту процедуру,
довольствуясь низкокачественными материалами. Но можно отметить, что ситуация уже меняется к
лучшему. Так, все чаще заказчики продукции российских и зарубежных фирм - производителей
пластиковых карт задают производителям вопросы о наличии сертификатов качества.
В чем российские компании действительно проявляют заинтересованность сегодня, так это в
сертификации своего производства со стороны международных платежных систем (МПС) - Visa Int и
MasterCard. На сегодняшний день сертифицированными МПС производителями банковских карт в РФ
являются три компании: "Розан Файненс", "НоваКард" и "Орга Зеленоград". Сертификация со стороны
МПС обеспечивает полное соблюдение стандартов в местах производства, хранения, отгрузки и
отправки карт.
Это, в свою очередь, гарантирует производителю нужный выбор сырья и материалов для таких
работ, как нанесение печати (рисунка) на карту; персонализация (внесение данных о клиенте, лазерная
углубленная или выпуклая гравировка и кодирование); имплантация (встраивание) чипа и
персонализация; печать панели подписи; печать стираемых панелей; нанесение магнитной полосы;
ламинация карт; нанесение степеней защиты (голограмм, водяных знаков, шрифтов и др.).
Имеется в виду, что и специальные краски и лаки, панели подписи, магнитная полоса, чипы да и
сам пластик применяются только сертифицированные, что позволяет производить качественную
продукцию. Здесь исключен вариант отслаивания, осыпания краски или лака, непрописывания четких
данных на панели подписи, невозможности кодирования магнитной полосы и несрабатывания чипа при
использовании, изгибания пластика раньше срока и т.д.
Конечно же, при этом соблюдаются технологии производства, и, как правило, оборудование у
всех производителей высокого качества, поэтому здесь не должно быть сложностей. Не имеет смысла
сертифицированным производителям заменять или подменять эти материалы на более дешевые,
низкокачественные по той простой причине, что все эти компании проходят ежегодную инспекцию
производства и исследование продукта на качество со стороны МПС, по результатам которой
производителю вручается письмо с подтверждением результатов инспекции*(146). Производители,
выполняющие условия стандартов, продолжают выпускать продукцию, те же, кто по каким-то причинам
нарушили эти условия, должны устранить недостатки в указанные сроки, иначе им грозит
десертификация. На первый взгляд, это жесткие условия, но они оправданы, ведь конечная цель -
удовлетворение потребителя безопасной и качественной продукцией.

Персонализация микропроцессорных карт спецификации EMV


Общий подход и промышленное решение

В настоящем разделе рассматриваются вопросы персонализации прежде всего
микропроцессорных банковских карт международных платежных систем, хотя описываемые подходы и
программные решения легко можно распространить (что нами уже в целом ряде случаев сделано) не
только на карты различных локальных платежных систем, но и на идентификационные карты с
микросхемой (например, водительские удостоверения, партийные билеты, страховые полисы), на SIM-
карты для мобильных телефонов, транспортные и "бензиновые" карты и т.д.

История вопроса

Как давно это было... 2003-2004 гг. знаменательны десятилетними юбилеями первых российских
платежных систем на смарт-чип-картах. Десять лет назад еще вовсю шли споры: можно ли отнести к
смарт-картам карты памяти или нельзя? Выбор карты часто определялся не ее функциональностью и
защищенностью, а только ценой и простотой программирования чипа. Но системы такие были
востребованы и появлялись буквально десятками, иных уж нет*(147), другие - "Сбер-карт", "Золотая
Корона", "Аккорд" - существуют до сих пор и активно развиваются.
Миллионы микропроцессорных карт выпущены существующими (и существовавшими)
платежными системами. И все эти миллионы карт были как-то персонализированы. Однако
используемые до последнего времени способы персонализации чиповых карт нельзя назвать
промышленными. Очень часто на карту просто наносился (наносится) номер, затем карта вручную
вставляется оператором в ридер или терминал, и все - персонализация закончена (как говорил один
многоуважаемый коллега, "зачем мне эмбоссер, я лучше найму два десятка студентов, пусть по ночам
работают, а не гуляют"). Возник парадокс - "находящиеся на самом передовом крае" смарт-карты в
области персонализации с точки зрения уровня автоматизации, производительности, использования
передовых технологий значительно проигрывали традиционным картам с магнитной полосой (правда,
эмиссия магнитных карт насчитывала в мировом масштабе не миллионы, а десятки миллиардов штук).
Ведь технологии персонализации магнитных карт разрабатывались благодаря в том числе таким
гигантам, как Visa и MasterCard.
Новые времена - новые проблемы. Visa и MasterCard не торопились с их решением. Тем не
менее шла разработка международных ISO-стандартов для карт с микропроцессором, общих для обеих
платежных систем спецификаций - спецификаций EMV*(148), собственных спецификаций платежных
систем - VSDC (Visa) и M/Chip (MasterCard). В тот момент, когда стало ясно, что переход обеих
платежных систем на микропроцессорные карты неотвратим, возникла задача: сделать персонализацию
карт с микропроцессором такой же универсальной и высокотехнологичной, какой является
персонализация карт с магнитной полосой. И задача эта оказалось очень и очень непростой. В том
числе и потому, что если практически полностью специфицировано "общение" EMV-карты и платежного
терминала, то до сих пор нет строгих законченных требований, как эти карты должны
персонализироваться.

О чем, собственно, речь

По мнению самих платежных систем, самое трудное в так называемой EMV-миграции - это
именно персонализация. И этот сложный вопрос, как нам кажется, требует достаточно детального
рассмотрения. В процессе персонализации участвуют:
собственно карта с микросхемой;
персонализационное устройство;
данные, помещаемые на карту;
программное обеспечение для управления всем процессом.
Таким образом, прежде всего надо иметь представление о различных EMV-картах, знать, чем
они отличаются друг от друга, как производятся, когда и где персонализируются.
Следует также понимать, как необходимо преобразовать знакомую технологию персонализации
банковских магнитных карт (в том числе как модернизировать имеющееся персонализационное
оборудование), какие данные помещаются на карту, как их подготовить, как наиболее рационально
персонализировать карты.
При этом надо исходить из того, что сегодня надо персонализировать одни карты, а завтра
другие. Сегодняшний тираж ограничен несколькими тысячами карт, а завтра их будут сотни тысяч, что
потребует использовать совершенно иное по производительности оборудование, поэтому программное
обеспечение должно обладать высокими адаптивными качествами. Кроме того, желательно иметь
инструмент, позволяющий: проверить, правильно ли карты персонализированы; убедиться в том, что
данные, записанные в микросхему, соответствуют исходным; посмотреть, как поведет себя карта в
диалоге с терминальным устройством.

Функциональные и технологические типы карт

Карты, удовлетворяющие спецификации EMV, отличаются от других микропроцессорных
платежных карт (таких, например, как электронные кошельки) тем, что для них строго регламентирована
последовательность совместного функционирования с приемными устройствами (терминалами). Эта
последовательность состоит из приведенных ниже шагов (некоторые шаги могут быть опущены).
Выбор приложения (команда Select). Терминал запрашивает карту о том, какие приложения она
поддерживает (например, Cirrus и локальное), и, если имеются совпадения с приложениями, которые
поддерживает сам терминал, выбирается одно из них.
Запрос терминалом основных сведений о приложении (команда Get Processing Option). Карта
выдает основную информацию о приложении (в частности, какую функциональность поддерживает и
структуру хранения данных выбранного приложения).
Чтение данных приложения (команда Read Record). На основании информации о структуре
файлов с данными, полученными на предыдущем шаге, терминал читает эти данные.
Аутентификация данных (Data Authentication). Терминал в режиме офлайн проверяет, истинны ли
данные, прочитанные с карты, и не подвергались ли они ранее подделке или незаконному исправлению.
Существуют следующие способы аутентификации: статическая (SDA), динамическая (DDA) и
усовершенствование динамической - комбинированная (CDA), являющаяся клоном.
Суть простейшей статической аутентификации заключается в следующем. В процессе выпуска
карт банк-эмитент создает пару несимметричных ключей. Публичный ключ отправляется в центр
сертификации данной платежной системы, откуда возвращается подписанным секретным ключом
системы. Пара - публичный ключ и его сертификат - загружается на карту. В то же время часть данных
(несекретных, но наиболее чувствительных, по мнению системы и эмитента) подписывается секретным
ключом банка-эмитента. Платежный терминал, зная публичный ключ системы, прочитав с карты
публичный ключ эмитента и его сертификат, убеждается в том, что этот публичный ключ неподдельный.
А зная публичный ключ эмитента и сертификат подписанных данных, может убедиться в том, что и они
не претерпели изменения с момента выпуска карты. Таким образом, последовательно терминал дважды
проверяет истинность информации, прочитанной им с карты, - сначала истинность публичного ключа
банка, затем истинность данных.
В процессе выполнения динамической аутентификации (DDA) и комбинированной (CDA)
используются команды Internal Authentication и Generate Application Cryptogram. Суть используемого
алгоритма заключается в том, что данные карты, а также динамические характеристики транзакции
(такие, как показатель счетчика транзакций карты и случайное число, выдаваемое в карту терминалом)
подписываются секретным RSA-ключом, индивидуальным для каждой карты. В свою очередь парный
этому ключу публичный ключ подписывается секретным ключом эмитента (аналогично тому, как в SDA
публичный ключ эмитента подписывается секретным ключом платежной системы). Подтвержденного
центром доверия (в данном случае это банк-эмитент) знания публичного ключа карты достаточно, чтобы
убедиться в правильности криптограммы. Таким образом, в DDA и CDA по сравнению с ПО SDA
возникает как бы третий (дополнительный этап). Если в SDA сначала проверяется истинность
публичного ключа эмитента, а затем истинность статических данных, то в рассматриваемых случаях
после проверки истинности публичного ключа эмитента убеждаемся в истинности публичного ключа
карты, а затем статических и динамических данных карты и терминала.

<< Предыдущая

стр. 49
(из 71 стр.)

ОГЛАВЛЕНИЕ

Следующая >>