Решения
Центр персонализации
Система персонализации пластиковых карт 3card-P.
Система персонализации карт 3card-P включает в себя процесс подготовки пластиковой карты к ее использованию для осуществления карточных операций держателем, включающий присвоение платежной карте уникального номера, нанесение его на карту, указание на ней имени держателя и срока действия. Кроме того, при выполнении этой процедуры на магнитную полосу или в микропроцессор карточки записывается информация, необходимая для обслуживания карты в торговых фирмах, банкоматах и пунктах выдачи наличных, после чего карта считается готовой к использованию.
Персонализация и ввод карт в обращение включает в себя следующие этапы:
-
регистрация параметров карт в системе внутреннего учета эмитента, подготовка исходных данных для персонализации и их передача в центр персонализации;
-
персонализация карт в собственном или стороннем центре персонализации, обслуживающем эмитента;
-
передача данных о персонализированных картах из центра персонализации в систему учета процессора-эмитента для регистрации;
-
передача данных о персонализированных картах из системы внутреннего учета эмитента в обслуживающий его центр авторизации для начала осуществления авторизации по этим картам.
Система 3card-P включает в себя следующие компоненты:
1. Модуль генерации параметров для персонализации карт.
Генерация ПИН-кода и кодов PVV и CVV.
Модуль персонализации по итогам обработки файла заявки на персонализацию дает команду модулю безопасности сгенерировать ПИН для персонализируемой карты. Модуль безопасности производит генерацию ПИНа в шифрованном виде и осуществляет его печать на принтере для печати ПИН-конвертов (PIN-mailer printer), если не задано использование отложенной печати. Кроме того, модуль безопасности передает Модулю персонализации следующие параметры, используемые в дальнейшем для проверки ПИН-кода:
-
код проверки ПИНа (PVV - PIN Verification Value), который содержит в шифрованном виде связанные по специальному алгоритму значения номера карты (PAN), номера ключа проверки ПИНа (PVKI - PIN Verification Key Index) и ПИН-кода;
-
код проверки карты (CVV - Card Verification Value), который содержит в шифрованном виде связанные по специальному алгоритму значения номера карты (PAN), сервис-кода (Service Code) и даты окончания срока действия карты (Expiration Date).
Сгенерированные модулем безопасности параметры используются Модулем персонализации при формировании файла данных для эмбоссинга и энкодинга.
Подготовка файла данных для эмбоссинга и энкодинга.
Файл, содержащий данные для эмбоссинга и энкодинга, формируется Модулем персонализации на основе данных, переданных в центр персонализации процессором эмитента в файле заявки на персонализацию, а также данных, полученных из модуля безопасности. Данные, сформированные для эмбоссинга и энкодинга карты, выгружаются в текстовой файл специального формата. Каждая строка этого файла содержит данные для персонализации одной карты. Файл содержит следующие данные:
-
информацию для эмбоссинга карты в виде включающих специальные разделители групп символов, которые должны быть эмбоссированы на карте;
-
данные, которые должны быть закодированы на магнитной полосе карты;
-
дополнительные данные для персонализации чиповых карт (если персонализируется чиповая или комбинированная карта).
Следует отметить, что форматы файла данных для эмбоссинга и энкодинга могут различаться при персонализации карт разных платежных систем из-за отличий в правилах эмбоссинга и энкодинга, принятых в платежных системах. Модуль персонализации, разработанный ООО "Программные системы и технологии", позволяет производить настройку формата файла данных для эмбоссинга и энкодинга в зависимости от типа используемого для энкодинга и эмбоссинга оборудования (эмбоссера) и требований конкретной платежной системы.
Подготовка файла для отложенной печати ПИН-конвертов.
Если не требуется осуществлять печать ПИН-кода непосредственно при его генерации, то Модуль персонализации может сформировать файл для отложенной печати ПИН-конвертов, содержащий ПИН-коды в зашифрованном виде. Этот файл в дальнейшем направляется для обработки в отдельный Модуль печати ПИН-конвертов, который осуществляет печать ПИН-кодов на принтере для печати ПИН-конвертов внутри ПИН-конвертов, предназначенных для передачи держателям карт.
Подготовка ответного файла для регистрации параметров персонализированных карт в системе внутреннего учета эмитента.
По итогам персонализации Модуль персонализации формирует ответный файл, содержащий данные об итогах обработки в центре персонализации представленного эмитентом файла заявки на персонализацию карт.
После обработки ответного файла система учета эмитента присваивает соответствующим картам состояние "Действующая" и включает данные о персонализированных картах в очередной исходящий файл обмена с центром авторизации для осуществления регистрации вновь персонализированных карт в центре авторизации эмитента.
2. Оборудование и система безопасности.
В составе системы 3card-P система безопасности обеспечивает выполнение функций, связанных с генерацией секретных параметров, используемых при персонализации карт (PIN, PVV, CVC/CVV), печатью PIN-конвертов и других.
Система безопасности включает в себя следующие основные компоненты:
-
Cервер безопасности;
-
АРМ администратора системы безопасности.
Сервер безопасности обеспечивает выполнение всех криптографических процедур в рамках перечисленных выше функций. Он поддерживает работу с одним или одновременно с несколькими аппаратными модулями безопасности (Hardware Security Modules, HSM).
Все ключи, используемые в криптографических процедурах, хранятся в базе данных ключей в зашифрованном виде. Мастер-ключ, которым зашифрованы эти ключи, хранится внутри аппаратного модуля безопасности.
Поддерживаются следующие аппаратные модули безопасности:
-
Racal 8000 (Ethernet-интерфейс);
-
Racal 7400 (COM-интерфейс);
-
Racal 7000 (Ethernet-интерфейс);
-
Racal 6000 (COM-интерфейс);
-
ESM (только персонализация).
Поддерживаются следующие криптографические алгоритмы:
-
DES;
-
Triple DES (кроме Racal 6000);
-
RSA;
-
ГОСТ 28147-89;
-
ГОСТ Р 34.10-94.
Поддерживается генерация следующих криптографических кодов:
-
PVV;
-
CVV (CVC1/CVV1 и CVC2/CVV2);
-
MAC;
-
Имитовставка (ГОСТ).
Каналы доступа к подсистеме безопасности защищены протоколом SSL, обеспечивающим взаимную аутентификацию сторон.
Автоматизированное рабочее место (АРМ) администратора системы безопасности обеспечивает диалоговый интерфейс пользователя с системой безопасности для работы с ключами (генерация, распределение, работа с БД ключей и т.п.), персонализации смарт-карт, используемых для транспортировки и загрузки ключей на терминалы.