Банковские карты — нефинансовые сервисы
11 Сентябрь 2019Современные системы контроля доступа (СКУД) на объектах в качестве идентификаторов используют многие носители. Это специальные карты, и биометрические признаки, и даже смартфоны. Последним достижением разработчиков таких систем стало использование в качестве идентификатора банковских карт. Редакция журнала «Алгоритм безопасности» обратилась к экспертам платежной системы «Мир» с просьбой осветить на страницах журнала политику компании по продвижению использования национальных карт в системах контроля доступа для предприятий и организаций. На предложенные нами вопросы ответили Мария Точилова – начальник управления развития продуктов и партнерских программ платежной системы «Мир» и Артем Кузнецов – руководитель группы разработки (платежных приложений) платежной системы «Мир». Надеемся, что этот материал одинаково будет интересен как производителям и инсталляторам СКУД, так и представителям предприятий России.
- Банковские карты «Мир» уже достаточно распространены в системе зарплатных проектов. Есть ли примеры реализованных проектов СКУД для организаций и предприятий, в которых в качестве идентификатора используются эти карты?
— На сегодняшний день реализовано более 60 проектов, в которых кампусные карты «Мир» используются в системах контроля доступа. Сейчас банки эмитировали свыше 500 тысяч таких карт.
В числе самых крупных подобных проектов на базе платежной системы «Мир» — карты студентов Московского государственного строительного университета, Южного федерального университета (Ростов-на-Дону), Госуниверситета имени Огарева в Саранске и других вузов. Студенты получают на такие карты стипендию, а также могут использовать их в качестве пропуска в вуз, при оплате проезда на транспорте и, конечно, при доступе к инфраструктуре своего учебного заведения.
— Существует ли в платежной системе «Мир» программа продвижения и поддержки использования национальных карт в системах контроля доступа?
— Да. Мы активно развиваем направление с использованием карт «Мир» в системах контроля доступа. В этой работе мы сотрудничаем не только с банками, но и с поставщиками оборудования и прикладных систем. Такое взаимодействие помогает нашим партнерам создавать решения, в которых возможно использование карты «Мир» при реализации различных задач.
Одним из направлений было создание комплекта разработчика нефинансовых сервисов, который позволяет реализовывать разноплановые продукты на базе национальной карты. Комплект разработчика представляет собой свод знаний и технологий, которыми мы обладаем. В его состав входят базовые концепции реализации проектов дополнительных сервисов на банковских картах, прототипы программного обеспечения и другие демонстрационные материалы. Также в комплекте можно найти техническую и бизнес-документацию. Он позволяет компаниям, ранее не работавшим с банковскими картами, быстро изучить технологию и использовать в промышленных решениях. Мы предоставляем этот инструмент бесплатно всем компаниям, которые планируют создать решение, совместимое с картами «Мир».
— Какие характеристики банковских карт позволяют использовать их в качестве идентификатора?
— Чтобы использовать карту «Мир» в системе контроля доступа, карта должна поддерживать технологию NFC, а также на нее должны быть загружены дополнительные идентификаторы, которые не связаны с банковским платежным приложением.
— Какие данные, хранящиеся на карте, используются для работы в системе СКУД? В процессе идентификации задействованы только специальные коды карты или возможно считывание данных пользователя?
— В последнее время все большее распространение получают системы контроля доступа, которые предполагают хранение всех данных пользователя не на самой карте, а в системе. Таким образом, чаще всего на практике персональные данные пользователя не записываются на карту. Для работы с системами контроля доступа достаточно идентификатора. А потому единственное, что требуется от карты, — это его безопасное хранение.
Тем не менее, в зависимости от специфики организации и от тех требований, которые она предъявляет к системам контроля доступа, на карту могут быть записаны и различные данные пользователя: фамилия, имя, отчество человека, его фотография или должность. Как правило, это может потребоваться в тех случаях, когда у систем контроля доступа нет связи с базой данных пользователей. Например, когда считывание с карты ведется при помощи устройства с нестабильным
каналом связи. В таких случаях, если на карту записана фотография человека, есть возможность визуально его идентифицировать.
Приложение платежной системы «Мир» в этом смысле хорошо технологически проработано, на него можно записывать любые данные. В то же время при выпуске карт для той или иной организации набор функций, который подойдет держателям, определяется банком совместно с самим предприятием.
— Требуется ли синхронизация баз данных банка и базы данных СКУД объекта? Если да, то как это происходит?
— Нет, не требуется. Вопрос синхронизации в данном случае решается на уровне обмена реестрами банка и организации, в которой карты будут применяться в системах контроля доступа — внесение в базу предприятия новых идентификаторов по мере выпуска новых карт («привязка» их к СКУД).
— Среди пользователей карт есть опасения, что использование карт в открытых системах контроля доступа могут привести к утечке информации и даже к финансовым потерям. Какие технологии задействованы для предотвращения преступных посягательств?
— Здесь нужно отметить два важных момента. Во-первых, утечки персональных данных произойти не может, поскольку, как правило, они не хранятся на карте. На карте, как уже было сказано ранее, чаще всего находятся лишь идентификаторы. Сам по себе идентификатор, который представляет определенный набор символов, не имеет никакой ценности. Если же персональные данные все же находятся на карте, то они защищены шифрованием и доступ к ним ограничен (другими словами, их можно прочитать и расшифровать только при условии владения соответствующими ключами и/или сертификатами).
В отличие от широко распространенных карт стандарта Mifare на «Мире» используются механизмы безопасности, позволяющие обеспечить целостность данных на карте (если идентификатор будет изменен/подделан, то терминал СКУД это может определить) и проверить подлинность карты (факт, что карта была выпущена определенным эмитентом, который является участником платежной системы «Мир»). Тем самым система защищена от подделок и клонирования.
Второе, что важно понимать, — хранение нефинансовых идентификаторов, которые применяются в системах контроля доступа, реализовано независимо от хранения финансовых данных на карте. Другими словами, использование карт «Мир» в системах СКУД не может привести к финансовым потерям.
— Насколько производители систем контроля доступа готовы к внедрению технологии считывания банковских карт для целей прохода на объект?
— Нам сложно оценить готовность конкретных производителей систем контроля доступа. Однако, как было отмечено ранее, платежная система «Мир» активно работает с поставщиками СКУД для того, чтобы обеспечить их технологическим инструментарием, который они смогут применить в разрабатываемых решениях. Мы рассчитываем, что наш комплект разработчика поможет партнерам разобраться
во всех аспектах применения технологий платежной системой «Мир».
— Какие еще направления нефинансового использования банковских карт «Мир» развиваются или реализованы?
— Сегодня на картах «Мир» реализованы различные нефинансовые сервисы: социальные, транспортные и др. Например, на базе национальной карты уже существуют такие проекты как: карта москвича, карта жителя Республики Башкортостан и др. Все они действуют на базе платежной системы «Мир» и совмещают финансовый функционал банковской карты, а также получение скидок в магазинах и оплату проезда на транспорте. Как было отмечено ранее, выпускаются также кампусные карты для студентов Московского государственного строительного университета (МГСУ), Южного федерального университета (Ростов-на-Дону), Госуниверситета имени Огарева в Саранске и других вузов.
При этом в платежной системе «Мир» на технологическом уровне реализована возможность добавлять на национальные карты различный нефинансовый функционал. В дальнейшем же сами банки, исходя из потребностей своих клиентов и совместимости с инфраструктурой региона, принимают решение о том, каким функционалом наполнить карту «Мир».
Информация и фото с https://algoritm.org/arch/arch.php?id=94&a=2295