Технологии программ лояльности
Мир без картВладельцы кредитных карт, носят в своих бумажниках кусочки пластика, раскрашенные во все цвета радуги, а теперь и с разнообразными картинками и фотографиями. А тем, кто не в курсе, сообщаем, что японский производитель «JCB» недавно выпустил первую «душистую» карту с ароматом цитрусовых, хотя лично я предпочел бы запах шоколада.
Несмотря на такие существенные, но все-таки косметические усовершенствования, главная функция и особенности построения систем безопасности пластиковых карт изменились относительно мало, в сравнении с существенно возросшими и постоянно совершенствующимися технологиями взлома, кражи номеров и другими способами мошенничества. Мир изменился радикально, но производители кредитных карт все еще пробуют догнать «вчерашнего» потребителя. Но разве производители вакуумных электронных ламп продолжали их выпуск, когда появилась возможность использовать транзисторы? Так возможно ли вообразить современный мир без пластиковых карт?
Чтобы конкурировать на современном рынке, любая технология оплаты должна удовлетворять трем основным функциональным требованиям: быть надежной, функционально гибкой и безопасной.
Надежность
Надежность – одна из важнейших характеристик любой системы оплаты. Так являются ли пластиковые карты безупречными с точки зрения надежности для конечного потребителя? Инфраструктура системы платежей с помощью кредитных карт состоит из четырех составляющих: банки-эмитенты, выпускающие карты для дальнейшего использования, электронные сети, с помощью которых осуществляется идентификация и производятся платежи, точки продаж (торговые или электронной коммерции) и, собственно, сами карты.
Процесс идентификации владельца за последние десятилетия свелся от переговоров по телефону к использованию сложнейших электронных сетей. Эти системы включают в себя дублирующие друг друга компьютеры, повышающие надежность процесса. Я уже и не могу припомнить, когда мне говорили: «Подождите, сеть не отвечает». Так что с этой стороны надежность использования карт обеспечивается полностью.
Функциональная гибкость
Сами по себе все плюсы, связанные с использованием ОДНОЙ карты не означают в полной мере функциональной гибкости, ее дает использование МНОГИХ карт. Потому-то наши бумажники часто похожи на людей, страдающих от излишнего веса. Здравомыслящие потребители не пользуются картами, потому что они симпатично выглядят, красивой формы или приятно пахнут, они приобретают их из-за «коллективной» функциональности. Функциональная гибкость – это, конечно, хорошо, но, глядя на непомерно распухший бумажник, приходится задуматься о том как освободить пару кармашков еще под пару карт.
Безопасность
Самый важный аспект, особенно для тех, у кого, как и у меня, карту «взламывали» дважды. Давайте повнимательнее рассмотрим основы механизмов безопасности, обеспечивающих идентификацию и аутентификацию карт и их владельцев, чтобы понять, что в этих механизмах может нас насторожить.
Идентификация
Ваша идентификация обязательна. При розничной торговле вы идентифицируетесь своим присутствием, своей кредитной картой и подписью. При электронной покупке вы идентифицируетесь, вводя имя пользователя и пароль, а также номер карты и, возможно, ее секретный код. Но, в любом случае, ваша идентификация должна быть аутентифицирована (подтверждена).
Аутентификация
Существуют три метода аутентификации:
-
«то, что вы имеете»: кредитная карта или брелок безопасности;
-
«то, что вы знаете»: пароль, PIN-код или ответ на секретный вопрос;
-
то, кем вы являетесь: фото-идентификатор или личная подпись.
Простые системы защиты требуют только одного из этих методов, тогда как сложные – всех трех, некоторые даже с дублированием (например, нужен пароль и PIN-код). Стандарт «Visa Payment Card Industry» (PCI), разработанный для защиты онлайновых операций, требует «двухфакторной» идентификации – обычно брелка безопасности и PIN-кода.
Каковы же минусы этих трех методов аутентификации? Во-первых, часто не нужно «физическое» наличие кредитной карты для того, чтобы ее использовать. Транзакции типа «card not present» - совершенно обычная вещь в электронной торговле, при заказах по каталогу и по телефону, таких, например, как заказ пиццы. Обычно требуется лишь CVV2 – трех- или четырехзначный код, получаемый из номера карты, который помогает доказать, что я – владелец этой карты и препятствует скимингу – незаконному копированию информации магнитной полосы.
Во вторых, системы установления подлинности кредитной карточки обычно не требуют «то, что вы знаете». В свое время производители карт пробовали поиграться с биометрическими технологиями, такими как отпечатки пальцев, спектр голоса и даже стилем ввода с клавиатуры, которые для каждого человека, как известно, уникальны. Но практического применения эти технологии не нашли в связи с их высокой стоимостью, непрактичностью, и относительной легкостью фальсификации.
Конечно при розничной торговле и в дебетовых сделках, там, где требуется физическое наличие карты и PIN-кода, обеспечивающих идентификацию по двум факторам, система защищена хорошо. Но поскольку все больше сделок сдвигается в область «card not present», все больше вопросов, касающихся безопасности карт EMV и не EMV, остаются без ответа. Добавьте все возрастающее количество и качество угроз, связанных с программами-шпионами разнообразной направленности, и вам станет ясно, что скоро мы столкнемся с большими проблемами.
 На этом временном графике видно, как производители карт предпринимали попытки нейтрализовать угрозы своей безопасности, а мошенники предпринимали упреждающие меры, стараясь быть на шаг впереди производителей. В этот график не включены косметические новшества: форма, цвет и запах, хотя, вполне возможно, грязная, дурно пахнущая карта могла бы отчасти помочь решить проблему воровства.
Как же выжить маленькой пластиковой карточке в этом полном опасностей мире? И есть ли вообще варианты ее спасти?
Добровольная «подстраховка»
А что если предложить владельцам ввести добровольные дополнительные меры безопасности? В конце концов, выплаты по страховке моему домовладельцу становятся меньше, если я добровольно устанавливаю сигнализацию. Что если моя процентная ставка была бы немного ниже, скидки чуть больше, а бонусные очки за потраченный доллар удваивались, если бы я добровольно «подписался» на повышенный уровень безопасности и тем самым уменьшил риск мошенничества?
Виртуальные счета
При расчетах онлайн, возможно, мы могли бы возвратиться немного назад, к ранним дням электронной торговли с ее номерами виртуальных счетов – VAN (virtual account number). Вы используете VAN (его предоставляет вам ваш банк) вместо номера реального счета, тем самым защищая его от множества угроз, связанных в том числе и со всякого рода программами-шпионами. Правды ради стоит сказать, что типичным каналом получения VAN является опять-таки интернет... Но, тем не менее, идея заслуживает внимания.
Новые каналы безопасности
Ну и, конечно, на помощь приходят новые разработки, способные повысить уровень безопасности. Например, «PayPal Mobile» - недавно появившийся сервис, позволяющий производить выплаты с помощью текстовых сообщений. Вы сообщаете о намерении заплатить в «PayPal», а они присылают запрос для подтверждения вашего платежа. Сервис «TextPayMe» обладает сходными возможностями. Сотовая телефония, без сомнения, открывает новые интересные возможности. Что если «встроить» самоидентификацию в вашу кредитную карту? В случае, если размер оплаты превышает установленный вами лимит или вы находитесь за пределами определенного географического региона, банк позвонит вам, чтобы подтвердить полученный запрос.
Но если эти методы получат одобрение потребителя, зачем вообще нужна «физическая» пластиковая карта? Номер моего счета мог бы быть записан в моем телефоне. Я мог бы добавить столько уровней безопасности, сколько мне необходимо. Если бы я захотел, мой PIN-код мог бы быть сложной производной от десятизначного числа. Я мог бы хранить всю необходимую секретную информацию в каком-нибудь абсолютно недоступном месте, например, записанной на флэш-карте, хранящейся в банковской ячейке. И за несколько лет «физическая» пластиковая карточка могла бы превратиться в набор простых виртуальных идентификаторов.
Что эта эволюция означает для многочисленных эмитентов и ко-брэндовых компаний, процветание которых во многом зависит от небольших кусочков пластика в ваших бумажников? Для них это означает, что одного декоративного покрытия с ароматом цитрусовых теперь уже явно недостаточно. Так что им стоит подумать о торговле дезодорантами для бумажника, в кармашках которого нет стопки пластиковых карт.
Автор: Джим Кашхилл, консультант по новым технологиям COLLOQUY.COM
Статья опубликована в журнале LOYALTY.INFO номер 6(14) ноябрь-декабрь 2006 года
|
рекомендуем почитать
