Использование ПИН в банковских картах
Это обычный компьютер, специально ориентированный на работу с криптографическими величинами (ключами, ПИН и пр.). Он оборудован несколькими портами (интерфейсами), к одному из которых подключен принтер, а к другому — управляющий компьютер (хост).
Для генерации ПИН управляющий хост посылает на HSM соответствующую команду (generate PIN), и HSM выводит случайно сгенерированное значение на порт принтера, которое немедленно распечатывается в особый пин-конверт.
В этой процедуре используется матричный принтер, из которого удалена красящая лента, и поэтому при печати на поверхности пин-конверта ничего не отображается. Более того, для обеспечения более высокого уровня безопасности после распечатки ПИН с пин-конвертов удаляется верхний слой (лист) бумаги, на котором теоретически можно увидеть контуры распечатанной без ленты информации. Эти верхние листы бумаги уничтожаются в шредере тоже в составе комиссии минимум из двух человек под наблюдением записывающих видеокамер.
Устойчивость HSM к взлому и их надежность регулируются Правительственным стандартом США, именуемым FIPS 140-2, описание и основные положения которого можно найти в Интернете, например в Википедии. Согласно этому Стандарту генерация ПИН может осуществляться только на HSM класса не ниже 3.
Таким образом, в классической (традиционной) схеме генерации ПИН всегда известно, кто именно из штата персонализационного бюро участвовал в процедуре вывода ПИН на печать, уничтожал верхний слой бумаги, помещал на хранение и т.д. При таком положении дел в случае утечки данных или компрометации ПИН на этапе генерации всегда можно с легкостью установить список лиц, потенциально причастных к процедурам генерации, хранения и передачи конкретных значений ПИН в те или иные инстанции.
Послабление Стандарта
И лишь относительно недавно международные пластиковые системы (МПС) разрешили выдавать ПИН клиентам не в конвертах, а с использованием IVR, то есть, например, по мобильному телефону, через Интернет или даже посредством SMS-сообщения.Перед тем как подробно проанализировать современные технологии передачи ПИН клиентам (держателям карт), необходимо ознакомиться с набором базовых терминов, используемых в индустрии банковских карт.
В наиболее свежем справочном документе (MasterCard Dictionary, October 2012) дается нижеследующее определение ПИН: «Персональный идентификационный номер — буквенно-цифровой код длиной 4… 12 символов, который позволяет эмитенту проверить подлинность держателя карты при одобрении операции в АТМ или терминале, происходящей в устройстве взаимодействия (POI)».
С понятием «ПИН» тесно связаны также нижеследующие понятия. Cardholder verification method (CVM) (метод проверки держателя карты) — система или технология, используемая для проверки подлинности держателя карты. В качестве примеров можно назвать: подпись, персональное идентификационное число, микропроцессор, универсальное поле подлинности держателя карты и биометрические технологии и др.
Генерация ПИН — производство персональных идентификационных чисел для передачи их держателям карт. Во избежание мошенничества выполняется в условиях строгой безопасности.
PIN-based transactions (PBT) — транзакции, заверяемые использованием персонального идентификационного номера клиента.
Проверочное значение ПИН — численное значение, извлекаемое посредством особого алгоритма, применяемого к основному номеру карты (primary account number (PAN)).
Проверка ПИН — процедура, позволяющая эмитенту убедиться в подлинности держателя карты при сопоставлении персонального идентификационного номера и номера карты клиента.
Вообще само понятие ПИН и связанные с ним процедуры, гарантирующие безопасные генерацию, пересылку и передачу ПИН, досконально описаны в Международном стандарте ISO 9564. Этот Стандарт периодически подвергается пересмотру, в настоящее время актуальна версия от 2011 г. Ознакомиться с основными положениями этого Стандарта можно, например, в Википедии.
Если генерация ПИН происходит традиционным способом, то проверочное значение (PIN validation value, PVV) записывается на магнитной полосе карты при ее кодировании. Однако в настоящее время все чаще используются технологии, позволяющие генерировать и выдавать ПИН клиентам значительно позже персонализации карты, например по телефону (т.н. IVR, Interactive voice response), и в этом случае PVV не записывается на магнитной полосе карты.
Требования МПС к эмитентам карт
В базовом документе, регулирующем вопросы безопасности обеспечения операций с банковскими картами (Security Rules and Procedures, August 2012), прописаны требования МПС к эмитентам в части генерации ПИН и передачи их клиентам — держателям карт. Вот, в частности, некоторые из положений этого документа.
МПС требует, чтобы эмитенты выдавали своим клиентам — держателям карт персональные идентификационные номера совместно с выдачей банковских карт или предлагали им возможность получения ПИН. ПИН позволяет клиентам получать доступ к сети банкоматов МПС, принимающей карты МПС, а также проводить операции в терминалах самообслуживания типа 1. Также ПИН может использоваться в некоторых типах терминалов POI.
В части, касающейся обязанности эмитентов предоставлять ПИН своим клиентам, МПС прописывают следующие требования.
Эмитенты отвечают за генерацию, хранение, обработку и поддержку смены ПИН. В частности, эмитенты должны поддерживать и обрабатывать ПИН в течение всего срока его жизни. Несколько стандартизированных методов генерации ПИН, совместимых со Стандартом ISO 9564, позволяют осуществлять проверку ПИН без необходимости хранить ПИН. Такие методы сводят на нет необходимость применения расширенных безопасных способов хранения и позволяют осуществлять проверку ПИН, базируясь на методах вычисления значения вместо сравнения расшифрованного значения ПИН с хранящимся его значением.
ПИН может быть либо сгенерирован эмитентом, либо назначен самим держателем карты. МПС настоятельно рекомендует эмитентам предоставлять своим клиентам — держателям банковских карт возможность выбирать себе ПИН самостоятельно вместо сгенерированного банком-эмитентом. ПИН должны состоять из цифр, букв или их сочетания и быть не более шести символов длиной. Эмитенты не должны сами генерировать ПИН.
Современные способы передачи ПИН клиентам — держателям карт
Основная проблема заключается в том, что сам ПИН и связанные с ним данные могут и должны быть известны только одному человеку, а именно — официальному держателю соответствующей карты. Это легко реализуется при традиционной схеме, когда ПИН выводится в конверт и затем передается оператором надлежащему лицу. При пересылке же ПИН любым иным способом возникает множество ситуаций, когда ПИН может быть раскрыт, то есть стать известным посторонним лицам, что называется компрометацией такового.
В традиционной схеме ПИН сразу поступает с порта HSM на локальный принтер и распечатывается безопасным способом (в специальный пин-конверт). Таким образом, перехват трафика практически невозможен, так как эту процедуру, согласно требованиям МПС, следует выполнять строго вдвоем под наблюдением видеокамер.
При пересылке ПИН любым другим способом всегда существует угроза его компрометации/разглашения третьим лицам, так как с порта HSM он поступает по некоторым каналам либо на телефонный коммутатор, либо на SMS-шлюз. И если телефонные разговоры посредством сотовой связи по умолчанию шифруются, то SMS-трафик циркулирует в эфире в открытом (не зашифрованном) виде, что позволяет теоретически перехватить такое сообщение лицам, которым оно не предназначено.
Перечислим базовые потенциальные виды угроз, определенные МПС для передачи ПИН посредством SMS или через IVR:
- клиент не уничтожит SMS-сообщение, содержащее ПИН, сразу по его получении;
- члены семьи держателя карты получат доступ к платежному средству и ПИН после его получения;
- инсайдер из состава почтового агрегатора перехватит ПИН и платежные реквизиты карты, сделает их дубликаты и затем отправит подлинники клиенту во избежание обнаружения;
- инженер телефонной службы включит прослушивание трафика с целью получения данных о передаваемых ПИН через IVR;
- возможна утечка данных на уровне провайдера сотовой связи;
- возможна утечка данных на уровне интернет-провайдера;
- возможны хакерские атаки и взлом систем IVR или веб-сайта (при передаче ПИН через Интернет) с последующим захватом данных о ПИН и платежных реквизитах карты;
- возможен взлом систем временного хранения ПИН эмитента.
Вопросы безопасности операций с банковскими картами волнуют как банки, выпускающие карты, так и держателей самих карт. Чтобы не дать клиентам стать добычей мошенников, банк может предложить услугу по смене ПИН в банкоматах банка. Например, если клиент считает, что его ПИН стал кому-то известен, или долгое время хранил карту вместе с ПИН, он может поменять свой ПИН на новый и тем самым существенно обезопасить операции по карте.
Не секрет, что держатели карт часто записывают свой ПИН, иногда даже на обратной стороне карты. Можно рекомендовать клиенту записывать ПИН в телефонную книгу как контакт, но при этом ни в коем случае не указывать название банка, а использовать чьи-либо Ф.И.О. и при этом добавить цифры до или после четырех знаков ПИН. И, конечно, следует как можно чаще напоминать клиенту о стандартных правилах безопасности и уведомлять его о том, что запрос ПИН при оплате покупок через интернет-магазины может означать, что, скорее всего, сайт является мошенническим.
Требования МПС к процедурам передачи ПИН лично держателю карты
Для любых схем передачи ПИН (вернее, для их последней стадии, когда ПИН вручается клиенту-держателю) МПС предписывают ряд довольно жестких требований, список которых приведен ниже:
- банкам-эмитентам не разрешено передавать ПИН клиентам через оператора-человека;
- уполномоченные сотрудники эмитента должны получить и проверить документ, удостоверяющий личность клиента, в соответствии с политикой банка;
- система управления эмитента должна идентифицировать персонал, уполномоченный передавать ПИН клиентам;
- процесс выдачи ПИН должен быть инициирован уполномоченным на то сотрудником банка;
- по факту передачи ПИН получателю процесс должен быть принудительно остановлен (завершен);
- журнал регистрации операций должен обеспечивать наличие данных, позволяющих однозначно идентифицировать вовлеченных в процесс сотрудников, с указанием даты и времени выполнения действий.
Передача ПИН посредством SMS-сообщения
При передаче ПИН посредством SMS-сообщения должны соблюдаться следующие правила:
- эмитент должен предоставить клиенту руководство по безопасной эксплуатации телефона, используемого для получения ПИН. Этот документ должен информировать клиента о рисках возможно установленного хакерского ПО в телефоне и о возможных проблемах хранения данных в нем;
- номер мобильного телефона клиента, используемого для получения ПИН, должен быть заранее зарегистрирован в соответствующей системе банка-эмитента;
- запрос клиента на получение ПИН через SMS на номер мобильного телефона, который не был предварительно зарегистрирован в банке-эмитенте, должен привести к принудительной повторной регистрации клиента — держателя карты в соответствии с политикой банка-эмитента;
- SMS-сообщению должна предшествовать коммуникация с клиентом, содержащая контрольное число и идентификационное значение;
- идентификационное значение или контрольное число и значение проверки подлинности должны быть переданы клиенту — держателю карты посредством механизма, отличного от SMS-информирования;
- идентификационное значение и значение проверки подлинности не должны содержать информацию о номере карты клиента;
- если идентификационное значение, используемое эмитентом, является публично доступным параметром, таким как номер мобильного телефона клиента или адрес его электронной почты, необходимо использовать вторичный механизм аутентификации, не являющийся публичным. Это значение аутентификации или механизм могут быть выбраны эмитентом;
- система распределения и передачи клиентам ПИН должна работать на выделенном компьютере и должна быть отделена от общей сети обособленным файерволом;
- все ПИН, контрольные значения и аутентификационные данные клиентов должны быть зашифрованы посредством алгоритмов Triple DES или AES с минимальной длиной ключа 112 бит при передаче и хранении в системе распределения ПИН;
- эмитентам следует использовать механизм pull при передаче ПИН посредством SMS;
- клиент должен быть проинструктирован о необходимости первичного контакта с системой выдачи ПИН, например, путем отправки электронной почты, SMS или звонка на систему IVR;
- система выдачи ПИН должна отличать держателя карты по контрольному значению, передаваемому при запросе на выдачу ПИН по SMS. Такой запрос также должен содержать аутентификационное значение держателя карты;
- система выдачи ПИН не должна исполнять никаких иных функций, кроме выдачи ПИН, а сессии связи, установленные в ходе передачи ПИН, должны незамедлительно прерываться по окончании процесса;
- система выдачи ПИН не должна иметь способов ассоциирования идентификационного или аутентификационного значения с конкретным именем, адресом или номером карты клиента;
- система выдачи ПИН должна отправлять клиенту ПИН только после успешной валидации аутентификационного значения;
- система выдачи ПИН должна обладать системой контроля чрезмерного количества попыток получения ПИН. Система должна уведомлять провайдера услуг о превышении допустимого числа неуспешных попыток;
- перед отправкой ПИН может быть расшифрован, а на канал передачи (телефонную станцию или систему электронной почты) послан набор цепочек чисел;
- система выдачи ПИН не должна содержать никаких клиентских данных (номер карты, Ф.И.О. клиента);
- связь ПИН с конкретным номером карты не должна быть возможна внутри системы выдачи;
- система выдачи ПИН не должна быть связана с любой другой системой, где может быть осуществлен доступ к соответствующим клиентским данным;
- идентификационное, аутентификационное значения и ПИН не должны записываться в журналы, а должны быть немедленно удалены после успешной доставки ПИН;
- если ПИН не удалось доставить клиенту в течение заранее установленного периода времени, он должен быть удален из системы;
- система должна обеспечивать уверенность в том, что невозможно определить тип платежного средства клиента или счета из содержания SMS-сообщения, содержащего ПИН.
Выводы
Поскольку ПИН является надежным, проверенным временем средством подтверждения пользователем корректности проводимой операции, он продолжает оставаться востребованным механизмом для использования в повседневной жизни.
Сегодня наиболее передовыми методами доставки ПИН потребителям являются звонок по телефону и SMS-информирование. Передача ПИН клиентам — держателям карт посредством SMS-сообщений является в настоящее время наиболее редко используемым и наименее защищенным методом, и платежные системы выдвигают жесткие требования к обеспечению полной безопасности этого метода. Лишь неукоснительное исполнение всех требований МПС гарантирует надежность передачи ПИН клиентам новым способом.