Бесконтактные платежи на данный момент являются наиболее активно развивающимся способом оплаты товаров и услуг. Изначально система бесконтактных платежей включала в себя только один вариант пассивного устройства — бесконтактная банковская карта. Но в связи с возможностью внедрения технологии бесконтактной связи в практически любое устройство или предмет, организациями, поддерживающими развитие технологии, было принято решение внедрить технологию в смартфоны, как наиболее востребованные в повседневной жизни предмет.
Однако очевидно сильное функциональное различие между бесконтактной картой и смартфоном. Данное отличие требовало особой организации поддержки возможности бесконтактной оплаты в составе смартфона.
Для проведения бесконтактной оплаты смартфон входит в режим эмуляции карты, в котором он функционирует подобно бесконтактной карте. Но, несмотря на это, за рамками этого режима поддержка бесконтактной оплаты также происходит. Дело в том, что обеспечение возможности проведения бесконтактных платежей осуществляется на физическом уровне и, согласно стандартам технологии, подключение к устройству и создание канала связи происходит в автоматическом режиме. Данная особенность технологии защищается программными средствами, что говорит о необходимости грамотного отношения к использованию смартфона и наличия антивирусной защиты. Это позволит избежать несанкционированного использования возможностей автоматической бесконтактной связи устройств.
Кроме поддержки технологии бесконтактной оплаты, смартфон обладает особой организацией и воплощением поддержки системы бесконтактных платежей. Для проведения платежных операций по бесконтактному каналу передачи данных необходимо наличие платежного приложения, которое осуществляет управление транзакцией. В отличие от банковских карт смартфон ввиду своих функциональных возможностей может содержать больше одного такого приложения. При этом банками, которые предоставляют такие приложения, должен осуществляться их контроль и управление. Для хранения таких приложений, а также обрабатываемой и защищаемой ими платежной информации, в состав смартфонов включается элемент безопасности (Security Element, SE). Существует несколько вариантов его воплощения, организация которых напрямую зависит от безопасности проведения бесконтактной оплаты [1].
Первый вариант называется SIM-centric model. Данная технология представляет собой физическое воплощение SE на SIM-карте. То есть именно SIM карта содержит платежные данные и платежное приложение. Технология являлась первым проектом по реализации бесконтактных платежей на базе смартфонов. Однако на данный момент технология менее всего востребована, так как предполагает замену SIM-карты при необходимости обновления данных или добавления нового платежного приложения.
Технология NFC-чипа является вторым возможным вариантом организации бесконтактной оплаты с использованием смартфона. Данная технология также подразумевает использование физического воплощения SE. При этом подключение NFC-чипа осуществляется непосредственно к операционной системе смартфона.
Наличие физического воплощения SE является наиболее защищенным, так как все данные находящиеся на нем надежно защищены криптографическими алгоритмами, ключи доступа к которым находятся только у банковских организаций или иных организаций, которым непосредственно принадлежит физический элемент.
Описанные технологии требуют взаимодействия внешних систем с элементами смартфона таким образом, что для загрузки дополнительных приложений или данных банками необходим контроль сотового оператора (SIM-centric model) или производителя электроники (NFC-чип), так как последние обладаю ключами доступа к SE и полностью распоряжаются доступом к SE, загрузкой на него информации, а также принимают решение о предоставлении такого доступа. Такая ситуация создавала не мало организационных проблем и по соображениям безопасности не устраивала банковские организации. Это потребовало создания дополнительного доверенного участника системы бесконтактной оплаты — Trusted Service Manager (TSM).
Основная задача TSM состоит в организации связи с сотовыми операторами или производителями электроники от лица многочисленных поставщиков услуг в виде банковских организаций. При этом TSM может осуществлять управление ключами доступа к SE, установку, загрузку, удаление платежных приложений и необходимых данных, контроль качества предоставляемых услуг.
Несмотря на поддержку создания физического SE практически всеми производителями электроники наиболее востребованным является третий вариант организации бесконтактных платежей. Технология Host Card Emulation (HCE) представляет собой виртуальное воплощение SE [2]. В данном случае управление платежной транзакцией происходит благодаря непосредственному подключению к процессору смартфона. Технология позволяет устанавливать неограниченного количество платежных приложений без сложного организационного взаимодействия между пользователем и банковскими организациями, а также осуществлять удаленное управление платежным приложением и загрузку необходимых данных.
Очевидно, что защита SE устанавливается с помощью программных механизмов. И необходимость наличия антивирусной защиты, во избежание обхода данного рода защиты нарушителем, не ставится под сомнение.
Основным защитным механизмом является наличие парольной защиты на осуществление бесконтактных платежей. Пароли могут быть символьные или на основании биометрических данных. Данный защитный механизм установлен в большинстве платежных приложений банков для осуществления платежей. Но в случае его отсутствия, пользователю необходимо самостоятельно позаботиться о наличии парольной защиты хотя бы в возможности доступа к смартфону, а именно его разблокировки.
Технология HCE, являющаяся наиболее популярной на данный момент, использует возможности облачных технологий, что делает её наиболее уязвимой при том, что большинство смартфонов на данный момент имеют свободный доступ в Интернет, а в некоторых случаях он является необходимым для осуществления такого рода платежей. Это еще раз подтверждает необходимость наличия антивирусной защиты и осознанного использования смартфона его владельцем.
Защищенность технологии HCE также во многом зависит от её реализации. Так как технология является приоритетной в использовании по сравнению с другими вариантам организации бесконтактной связи на смартфоне, на данный момент вводится новый защитный механизм токенизации. Токенизация предполагает использование платежных токенов вместо защищаемых платежных данных. Токены представляют собой уникальные 16-значные комбинации цифр, которые загружаются в смартфон банком, осуществляющим поддержку бесконтактных платежей и предоставляющим пользователем соответствующие услуги. Такие комбинации привязываются к конкретному устройству и определенному платежному сервису. Токены представляют собой зашифрованные платежные данные, в том числе и номер банковской карты, которые невозможно без значения ключей шифрования узнать злоумышленнику. Данная технология в разы повышает безопасность проведения бесконтактной оплаты смартфоном и активно внедряется в настоящее время.
Таким образом, наличие антивирусной защиты и парольной защиты смартфона является единственно возможным дополнительным обеспечением защиты от несанкционированных действий в отношении платежных данных держателем смартфона и владельцем подключенного к нему банковского счета. Такие защитные механизмы являются наиболее рекомендуемыми и действенными в обеспечении информационной безопасности платежной информации. При этом не стоит забывать о сознательном пользовании смартфоном с учетом понимания всех его функциональных возможностей, организации бесконтактных платежей и опасности халатного отношения к собственным сбережениям.
Литература:
- Прилуцкий А. Технология NFC: что, зачем и когда [Электронный ресурс] / А. Прилуцкий. — 2013. — Режим доступа: http://www.hardnsoft.ru/academy/technology/28916/, свободный.
- Технология HCE [Электронный ресурс]. — 2016. — Режим доступа: https://powersecurity.org/ru/support/wiki/index.php?title=HCE, свободный.
