Четырехугольная модель безопасности платежей

Модель «Четыре угла» , часто называемая схемой четырех сторон , является наиболее часто используемой карточной схемой в карточных платежных системах во всем мире. Эта модель была представлена в 1990-х годах. Это удобная для пользователя система карточных платежей, основанная на межбанковской клиринговой системе и экономической модели , основанной на многосторонних межбанковских комиссиях (MIF), выплачиваемых между банками или другими платежными учреждениями. ^{[ 1 ]}^{[ 2 ]}

Самым значительным преимуществом использования модели четырех углов является то, что банковские карты принимаются повсеместно. Дополнительные преимущества включают в себя:

Гарантия того, что продавец получит оплату
Надежность и безопасность благодаря более низкому риску мошенничества
Отслеживаемость как оружие против отмывания денег ^{[ 2 ]}

Безопасность в моделях «Четыре угла» стандартизирована стандартом безопасности данных индустрии платежных карт (PCI DSS). Стандарт PCI утвержден производителями карт, но администрируется Советом по стандартам безопасности индустрии платежных карт . ^{[ 3 ]}

Описание

Модель четырех углов включает в себя несколько потоков между четырьмя ее компонентами, выполняющими разные работы. Однако система представляет собой чрезвычайно сложный механизм, требующий процессов клиринга и расчетов.

В этой модели Продавец подключается к своему эквайеру, который через схему подключается к эмитенту карты держателя карты. Обычно существует одна или несколько третьих сторон, которые действуют как коммутатор или шлюз между Продавцом и Эквайером.

Обычно Эмитент отличается от Приобретателя. Когда это происходит, возникает необходимость в межбанковских процессах. Эти процессы предполагают перевод денег и компенсаций между участвующими банками.

Модель четырех углов начинается с действия держателя карты, совершающего покупку с использованием своей платежной карты у продавца. Торговец запускает поток аутентификации в своем банке-эквайере, а затем банк-эквайрер отправляет информацию в банк-эмитент. Этот поток передается через обширную сеть коммутаторов, шлюзов и серверов, управляемых сетью соответствующей схемы карт.

Возвращаемый поток авторизации будет двоичным и может представлять собой либо положительный (разрешенный), либо отрицательный (отклоненный) ответ. На этом этапе обычно происходит один из следующих сценариев:

Положительная авторизация обычно приводит к тому, что Продавец доставляет приобретенные товары или услуги и распечатывает чек.
Отрицательный ответ приведет к тому, что Продавец повторно введет данные карты или запросит другой способ оплаты.

Модель четырех углов также может быть применена к другим сценариям оплаты, включая использование банкомата, где положительная авторизация приведет к выдаче банкнот и квитанций об транзакциях держателю карты. Однако отрицательный ответ приведет к тому, что банковская карта будет отклонена, а средства не будут выданы.

Часто четырехугольная модель трансформируется в трехугольную модель (треугольник). Это происходит, когда банк-эквайрер пропускается, а поток авторизации направляется коммутаторами и шлюзами непосредственно к эмитенту. Пропуск банка-эквайера ускоряет транзакцию и создает меньше проблем в платежной сети. ^{[ 1 ]}

Участники

Модель четырех углов предполагает участие четырех участников: держателя карты, продавца , эмитента и эквайера . ^{[ 1 ]}

1. Владелец карты

Владелец карты — это потребитель, которому банк или другое финансовое учреждение выдало платежную карту. Владелец карты не является владельцем данной карты. Вместо этого они остаются собственностью финансового учреждения-эмитента, например, эмитента. Владельцу карты предоставляется право на использование карты. ^{[ 4 ]}

Обычно у держателя карты есть счет в финансовом учреждении-эмитенте, напрямую связанный с платежной картой, например, банковская дебетовая карта. Это не всегда так, например, когда сотрудникам выдаются корпоративные кредитные карты или карты автопарка/топлива.

2. Торговец

Продавец, которого часто называют «Принимателем», — это поставщик, получающий платеж от Держателя карты/потребителя. Торговец принимает платежи по картам за товары или услуги, которые он продает Владельцу карты. ^{[ 5 ]}

Примеры торговцев включают в себя:

Банкомат (банкомат) также считается торговцем, даже если он является полностью автоматизированным устройством. Его основная задача – принимать платежные карты.

3. Эмитент

Эмитент – банк или другое финансовое учреждение, выпускающее платежную карту, выдаваемую Держателю карты. Обычно существует три различных типа платежных карт: ^{[ 6 ]}

Эмитент предоставляет платежные карты от имени сети карточных платежей. К таким сетям относятся:

Сеть карточных платежей также может быть частной сетью с замкнутым контуром, например внутренней.

Банк-эмитент занимается производством своих платежных карт и управлением связанной с ними криптографией. Обычно это делается с помощью компании-интегратора карт.

4. Эквайрер

Эквайрер предоставляет инструменты, используемые Продавцом для приема платежных карт. Зачастую Эквайрером является сторонняя система, которая может не являться непосредственно банком, в котором у Продавца открыт счет. Эквайрер обычно предоставляет Продавцу оборудование и программное обеспечение, необходимое для обработки транзакций, связанных с платежами по картам.

Эквайрер управляет окончательными кодами возврата для платежных транзакций. Эти коды будут либо авторизацией списания, либо отклонением транзакции. Задача Эквайрера в рамках модели «Четыре угла» заключается в авторизации платежа от держателя карты продавцу при покупке товара или услуги. ^{[ 5 ]}

Технология

Модель четырех углов требует сквозных безопасных транзакций . Эти транзакции зашифрованы и должны быть защищены на каждом углу. Использование специализированных инструментов, таких как аппаратные модули безопасности (HSM) и автоматизированное управление ключами, является важной частью модели. ^{[ 3 ]}

Аппаратные модули безопасности

Криптография запрашивается между всеми участниками, участвующими в четырехугольной модели. Многие криптографические ключи и операции должны выполняться в защищенной среде, например в аппаратном модуле безопасности (HSM). HSM необходимы для обработки растущего числа транзакций и отражения атак со стороны опытных киберпреступников. ^{[ 7 ]}

Владельцы карт: если их платежная карта имеет чип, что является обязательным для транзакций EMV, он действует как микропортативный HSM.
Торговцы: малый бизнес обычно имеет один или несколько платежных терминалов (также POS-терминал) с защищенной памятью и криптографическим оборудованием, которое позволяет машинам действовать как небольшие HSM. Платежные операции изолированных банкоматов группируются, а POS-терминалы управляются. Этим концентраторам требуются подключенные к сети HSM для обеспечения безопасности транзакций по мере их сбора.
Эмитенты: им нужны HSM для выпуска карт, хранения ключей и управления криптографией, связанной с картами. Эмитентам также необходимы HSM для авторизации криптографического потока.
Эквайеры: Согласно модели четырех углов, эквайеры должны управлять всеми ключами финансовых терминалов для торговцев и обрабатывать криптографический поток к эмитенту. Эти процессы требуют большого количества производительных и надежных HSM.

Системы управления ключами

В дополнение к HSM необходима современная система управления ключами, обеспечивающая основу для управления несколькими ключами в течение их жизненного цикла. Существуют различные типы систем управления ключами, которые можно реализовать по-разному.

Основные функции KMS для обеспечения безопасности платежей включают в себя: ^{[ 8 ]}

Поддержка различных типов и форматов ключей.
Сертифицированный аппаратный генератор случайных чисел для генерации надежных ключей в HSM.
Сертифицированное, защищенное от несанкционированного доступа аппаратное устройство для защиты хранящихся ключей.
Автоматизация для выполнения обычных или утомительных задач
Логический контроль доступа со строгой аутентификацией пользователей
Защищенный от несанкционированного доступа журнал аудита для проверок соответствия

См. также

Ссылки

^ Jump up to: ^а ^б ^с Рупп, Мартин (22 апреля 2021 г.). «Владелец карты, продавец, эмитент и эквайрер — четырехугольная модель безопасности платежей и управления ключами» . Криптоматика.
^ Jump up to: ^а ^б Банковские и финансовые исследования и деятельность (январь 2013 г.). «Система межбанковских платежных карточек на благо всех» (PDF) . Французская банковская федерация. Архивировано из оригинала (PDF) 25 сентября 2013 г. Проверено 17 мая 2021 г.
^ Jump up to: ^а ^б Совет по стандартам безопасности PCI. «Требования к стандарту безопасности данных индустрии платежных карт (PCI) и процедуры оценки безопасности, версия 3.2.1, май 2018 г.» (PDF) . Совет по стандартам безопасности PCI, LLC.
^ Оуэн, Майкл; Диксон, Колин (июнь 2007 г.). «Новая основа безопасности держателей карт». Сетевая безопасность . 2007 (6): 8-12.
^ Jump up to: ^а ^б Тейчер, Рон (21 ноября 2017 г.). «Три типа торгового мошенничества: руководство для торговых эквайеров» . Финэкстра . Проверено 17 мая 2021 г.
^ «Стандарты безопасности эмитентов и индустрии платежных карт» (PDF) . ВИЗА Инк . Проверено 17 мая 2021 г.
^ Грегг, Майкл (2014). Учебное пособие CASP CompTIA для продвинутых специалистов по безопасности: экзамен CAS-002 . Джон Уайли и сыновья . п. 246. ИСБН 9781118930847 .
^ Тернер, Дон М. «Что такое управление ключами? Взгляд директора по информационной безопасности» . Криптоматика . Проверено 30 мая 2016 г. .

[4CornersmodelRupp-1] Jump up to: ^а ^б ^с Рупп, Мартин (22 апреля 2021 г.). «Владелец карты, продавец, эмитент и эквайрер — четырехугольная модель безопасности платежей и управления ключами» . Криптоматика.

[Fédération_Bancaire_Française-2] Jump up to: ^а ^б Банковские и финансовые исследования и деятельность (январь 2013 г.). «Система межбанковских платежных карточек на благо всех» (PDF) . Французская банковская федерация. Архивировано из оригинала (PDF) 25 сентября 2013 г. Проверено 17 мая 2021 г.

[PCI_DSS-3] Jump up to: ^а ^б Совет по стандартам безопасности PCI. «Требования к стандарту безопасности данных индустрии платежных карт (PCI) и процедуры оценки безопасности, версия 3.2.1, май 2018 г.» (PDF) . Совет по стандартам безопасности PCI, LLC.

[Owen-Cardholder-data-4] Оуэн, Майкл; Диксон, Колин (июнь 2007 г.). «Новая основа безопасности держателей карт». Сетевая безопасность . 2007 (6): 8-12.

[Teicher-Merchant-5] Jump up to: ^а ^б Тейчер, Рон (21 ноября 2017 г.). «Три типа торгового мошенничества: руководство для торговых эквайеров» . Финэкстра . Проверено 17 мая 2021 г.

[VISA-Issuer-6] «Стандарты безопасности эмитентов и индустрии платежных карт» (PDF) . ВИЗА Инк . Проверено 17 мая 2021 г.

[7] Грегг, Майкл (2014). Учебное пособие CASP CompTIA для продвинутых специалистов по безопасности: экзамен CAS-002 . Джон Уайли и сыновья . п. 246. ИСБН 9781118930847 .

[Turner-What-is-key-management-8] Тернер, Дон М. «Что такое управление ключами? Взгляд директора по информационной безопасности» . Криптоматика . Проверено 30 мая 2016 г. .

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]