Использование пластиковых карточек.
Пластиковая карта – машинный носитель, емкостью от 100 до 200 байт, на котором зафиксированы: идентификатор карточки владельца, сроки действия и определена защита информации.
Существует несколько направлений использования пластиковых карточек: через банкометы и о бслуживание клиентов через сферу услуг и торговли.
Пластиковые карточки позволяют решить следующие проблемы:
ü оперативность платежей
ü проблему наличности
ü повышение контроля платежной дисциплины
ü проблема фальшивых денег.
Классификация пластиковых карточек:
1. по виду проводимых расчетов:
ü Дебетовые – являются заменой наличных средств, имеющихся на счетах клиента в банке.
ü Кредитовые – дают возможность получения необеспеченного кредита (без предоплаты), в размере, который клиент может осуществить свои платежи. Но прежде чем предоставить такую карту, банк проверяет и анализирует среднегодовой доход, кредитную истории клиента, семейное положение, род занятий, состояние банковских счетов. В договоре указывается процент, взимаемый за использование карты, объем кредита, сумма залога и процент скидок.
2. По характеру использования
ü Индивидуальные – выдаются отдельным клиента и могут быть: стандартные и золотые ( с высокой кредитоспособностью)
ü Семейные
ü Корпаративные – выдаются организации, которая сама может выдавать карты своим сотрудникам или открывать персональные счета.
3. По способу записи информации
ü Графическая
ü Эмбассированная – нанесение данных в виде рельефных знаков
ü Щтрих-кодированная
ü Кодирование на магнитной полосе - хранят информацию не менее 200 байт
ü Микропроцессорная запись – имеется встроенный микропроцессор, который позволяет хранить информацию не только о карте и владельце карты, но и о состоянии его счета.
4. По принадлежности к учреждению выпуска:
ü Банковские
ü Коммерческие, выпускаемые финансовыми учреждениями
ü Карты, выпускаемые организациями.
Технология применения пластиковых карт
Существую 2 режима работы с пластиковыми картами:
1. Режим on-line – требует авторизации клиента карты и предусматривает списание денежных средств со счета клиента в момент авторизации (авторизация – это процесс утверждения выдачи по карте)
2. Режим off – line – предусматривает накапливание информации в торговом терминале или в электронной кассе и передачу информации в конце дня.
4.
От обеспечения безопасности информационной вычислительной системы (ИВС) банка сегодня во многом зависит бесперебойное, устойчивое и надежное функционирование бизнес - процессов в банке в целом; в частности репутация финансового учреждения, доля на рынке, снижение издержек.
К нынешним автоматизированным банковским системам (АБС) предъявляются очень строгие требования, как со стороны банков-пользователей, так и со стороны государственных и контролирующих органов. Растет число банков использующих Интернет и удаленный доступ к своим системам.
Только комплексная информационная банковская система, интегрирующая различные сферы деятельности банка, способна полностью автоматизировать и объединить в единое целое бизнес - процессы финансового учреждения. Работа с клиентами, начисление процентов, предоставление всевозможных банковских услуг должны быть увязаны с внутрихозяйственной деятельностью банка, с бухгалтерией. Комплексная система, поддерживающая централизованную обработку, мультивалютность и автоматизацию основных финансовых операций, позволяет эффективно проводить управление, контроль, получение отчетов о текущей деятельности всех филиалов банка.
Прежде всего, АБС является инструментом управления бизнесом. Функций АБС следующие:
• операционный день; операции на фондовом рынке, работа банка с ценными бумагами; внутрихозяйственная деятельность; розничные банковские услуги; дистанционное банковское обслуживание; электронные банковские услуги; расчетный центр и платежная система (карточные продукты); интеграция бэк-офиса банка с его внешними операциями; управление деятельностью банка, реализация бизнес-логики, контроль, учет, в том числе налоговый, и отчетность; управление рисками и стратегическое планирование; программы лояльности клиентов, маркетинговая, рекламная и PR-службы.
Приведенные основные функции АБС реализуются по средствам следующих технологий:
Распределительная вычислительная система, организация коллективной работы пользователей, создание реального информационного пространства банка, включая филиалы, клиентов и партнеров;
• безопасное подключение информационной системы банка к внешним вычислительным сетям (Интернет);
• организация безопасной, достоверной передачи данных по общедоступным каналам связи (криптография: шифрование и электронная цифровая подпись (ЭЦП), организационные меры), электронный документооборот;
• техническое, программное, математическое и другое обеспечение;
• информационная аналитика и системы поддержки принятия решений (decision support systems, DSS);
• защита хранимой и обрабатываемой информации, всей АБС в целом;
• системы удаленной работы с фондовыми рынками и программы предсказания поведения курсов;
• CRM-системы управления отношениями с клиентами;
• программы реализации фронт-офиса взаимодействия с клиентами;
• системы поддержки внутренней организации, менеджмента и исполнительной деятельности персонала;
• разграничение доступа к информации разного уровня секретности;
• антивирусная защита;
• интернет-магазины и Интернет-карточки;
• центры обработки вызовов (call-центры) и IP-телефония;
• поддержка различных каналов доступа: Интернет, телефон, мобильная сеть, SMS, WAP и др.;
• поддержка множественных стандартов учета, включая управленческий учет;
• поддержка и исследования в области планомерного информационного развития АБС.
Доступ к сервисам, которые предоставляет данное программное обеспечение, осуществляется через открытые сети, использование которых таит в себе многочисленные информационные угрозы.
Наиболее распространенные из них:
• несанкционированный доступ к ресурсам и данным системы: подбор пароля, взлом систем защиты и администрирования, маскарад (действия от чужого имени);
• перехват и подмена графика (подделка платежных поручений, атака типа «человек посередине»);
IP-спуфинг (подмена сетевых адресов);
отказ в обслуживании;
атака на уровне приложений;
сканирование сетей или сетевая разведка;
использование отношений доверия в сети. Причины, приводящие к появлению подобных уязвимостей:
• отсутствие гарантии конфиденциальности и целостности передаваемых данных;
• недостаточный уровень проверки участников соединения;
• недостаточная реализация или некорректная разработка политики безопасности;
• отсутствие или недостаточный уровень защиты от несанкционированного доступа (антивирусы, контроль доступа, системы обнаружения атак);
• существующие уязвимости используемых операционных систем (ОС), ПО, СУБД, веб-систем и сетевых протоколов;
• непрофессиональное и слабое администрирование систем;
• проблемы при построении межсетевых фильтров;
• сбои в работе компонентов системы или их низкая производительность;
• уязвимости при управлении ключами.
Наиболее часто информационное пространство банковской системы используется для передачи сообщений, связанных с движением финансов.
Основные виды атак на финансовые сообщения и финансовые транзакции:
• раскрытие содержимого;
• представление документа от имени другого участника;
• несанкционированная модификация;
• повтор переданной информации.
Для предотвращения этих злоупотреблений используются следующие средства защиты:
шифрование содержимого документа;
контроль авторства документа;
контроль целостности документа;
нумерация документов;
ведение сессий на уровне защиты информации.
Хакер может выступать в роли внешнего источника угрозы так и внутреннего