Центр персонализации

Система персонализации пластиковых карт 3card-P.

Система персонализации карт 3card-P включает в себя процесс подготовки пластиковой карты к ее использованию для осуществления карточных операций держателем, включающий присвоение платежной карте уникального номера, нанесение его на карту, указание на ней имени держателя и срока действия. Кроме того, при выполнении этой процедуры на магнитную полосу или в микропроцессор карточки записывается информация, необходимая для обслуживания карты в торговых фирмах, банкоматах и пунктах выдачи наличных, после чего карта считается готовой к использованию.

Персонализация и ввод карт в обращение включает в себя следующие этапы:

• регистрация параметров карт в системе внутреннего учета эмитента, подготовка исходных данных для персонализации и их передача в центр персонализации;

• персонализация карт в собственном или стороннем центре персонализации, обслуживающем эмитента;

• передача данных о персонализированных картах из центра персонализации в систему учета процессора-эмитента для регистрации;

• передача данных о персонализированных картах из системы внутреннего учета эмитента в обслуживающий его центр авторизации для начала осуществления авторизации по этим картам.

Система 3card-P включает в себя следующие компоненты:

1. Модуль генерации параметров для персонализации карт.

Генерация ПИН-кода и кодов PVV и CVV.

Модуль персонализации по итогам обработки файла заявки на персонализацию дает команду модулю безопасности сгенерировать ПИН для персонализируемой карты. Модуль безопасности производит генерацию ПИНа в шифрованном виде и осуществляет его печать на принтере для печати ПИН-конвертов (PIN-mailer printer), если не задано использование отложенной печати. Кроме того, модуль безопасности передает Модулю персонализации следующие параметры, используемые в дальнейшем для проверки ПИН-кода:

• код проверки ПИНа (PVV - PIN Verification Value), который содержит в шифрованном виде связанные по специальному алгоритму значения номера карты (PAN), номера ключа проверки ПИНа (PVKI - PIN Verification Key Index) и ПИН-кода;

• код проверки карты (CVV - Card Verification Value), который содержит в шифрованном виде связанные по специальному алгоритму значения номера карты (PAN), сервис-кода (Service Code) и даты окончания срока действия карты (Expiration Date).

Сгенерированные модулем безопасности параметры используются Модулем персонализации при формировании файла данных для эмбоссинга и энкодинга.

Подготовка файла данных для эмбоссинга и энкодинга.

Файл, содержащий данные для эмбоссинга и энкодинга, формируется Модулем персонализации на основе данных, переданных в центр персонализации процессором эмитента в файле заявки на персонализацию, а также данных, полученных из модуля безопасности. Данные, сформированные для эмбоссинга и энкодинга карты, выгружаются в текстовой файл специального формата. Каждая строка этого файла содержит данные для персонализации одной карты. Файл содержит следующие данные:

• информацию для эмбоссинга карты в виде включающих специальные разделители групп символов, которые должны быть эмбоссированы на карте;

• данные, которые должны быть закодированы на магнитной полосе карты;

• дополнительные данные для персонализации чиповых карт (если персонализируется чиповая или комбинированная карта). 

Следует отметить, что форматы файла данных для эмбоссинга и энкодинга могут различаться при персонализации карт разных платежных систем из-за отличий в правилах эмбоссинга и энкодинга, принятых в платежных системах. Модуль персонализации, разработанный ООО "Программные системы и технологии", позволяет производить настройку формата файла данных для эмбоссинга и энкодинга в зависимости от типа используемого для энкодинга и эмбоссинга оборудования (эмбоссера) и требований конкретной платежной системы.

Подготовка файла для отложенной печати ПИН-конвертов.

Если не требуется осуществлять печать ПИН-кода непосредственно при его генерации, то Модуль персонализации может сформировать файл для отложенной печати ПИН-конвертов, содержащий ПИН-коды в зашифрованном виде. Этот файл в дальнейшем направляется для обработки в отдельный Модуль печати ПИН-конвертов, который осуществляет печать ПИН-кодов на принтере для печати ПИН-конвертов внутри ПИН-конвертов, предназначенных для передачи держателям карт.

Подготовка ответного файла для регистрации параметров персонализированных карт в системе внутреннего учета эмитента.

По итогам персонализации Модуль персонализации формирует ответный файл, содержащий данные об итогах обработки в центре персонализации представленного эмитентом файла заявки на персонализацию карт.

После обработки ответного файла система учета эмитента присваивает соответствующим картам состояние "Действующая" и включает данные о персонализированных картах в очередной исходящий файл обмена с центром авторизации для осуществления регистрации вновь персонализированных карт в центре авторизации эмитента.

2. Оборудование и система безопасности.

В составе системы 3card-P система безопасности обеспечивает выполнение функций, связанных с генерацией секретных параметров, используемых при персонализации карт (PIN, PVV, CVC/CVV), печатью PIN-конвертов и других.

Система безопасности включает в себя следующие основные компоненты: 

• Cервер безопасности;

• АРМ администратора системы безопасности. 

Сервер безопасности обеспечивает выполнение всех криптографических процедур в рамках перечисленных выше функций. Он поддерживает работу с одним или одновременно с несколькими аппаратными модулями безопасности (Hardware Security Modules, HSM).

Все ключи, используемые в криптографических процедурах, хранятся в базе данных ключей в зашифрованном виде. Мастер-ключ, которым зашифрованы эти ключи, хранится внутри аппаратного модуля безопасности.

Поддерживаются следующие аппаратные модули безопасности: 

• Racal 8000 (Ethernet-интерфейс);

• Racal 7400 (COM-интерфейс);

• Racal 7000 (Ethernet-интерфейс);

• Racal 6000 (COM-интерфейс);

• ESM (только персонализация).

Поддерживаются следующие криптографические алгоритмы: 

• DES;

• Triple DES (кроме Racal 6000);

• RSA;

• ГОСТ 28147-89;

• ГОСТ Р 34.10-94.

Поддерживается генерация следующих криптографических кодов: 

• PVV;

• CVV (CVC1/CVV1 и CVC2/CVV2);

• MAC;

• Имитовставка (ГОСТ).

Каналы доступа к подсистеме безопасности защищены протоколом SSL, обеспечивающим взаимную аутентификацию сторон. 

Автоматизированное рабочее место (АРМ) администратора системы безопасности обеспечивает диалоговый интерфейс пользователя с системой безопасности для работы с ключами (генерация, распределение, работа с БД ключей и т.п.), персонализации смарт-карт, используемых для транспортировки и загрузки ключей на терминалы.