Практически во всех микропроцессорных карточках  аппаратно реализован криптоалгоритм (обычно, некоторая модификация DES или RSA), а иногда, и не один. Встроенные криптоалгоритмы используются не только для шифрования данных, но и для их сертификации, для аутентификации различных приложений, порождения цифровых подписей и т.д. Обращение к криптоалгоритму обычно реализовано с помощью отдельной команды операционной системы.

   В бесконтактных карточках (хотя это  карточки с защищенной памятью) тоже используются средства шифрования данных. Это связано с тем, что передача данных идет, по существу, по радио и, в принципе, может быть перехвачена. Поэтому сеанс связи шифруется с помощью мощного криптоалгоритма.

   Электронный кошелек на микропроцессорной карточке также реализован аппаратно. Кстати, и на бесконтактных карточках  имеется аналог электронного кошелька – область памяти, к которой применяются операции инкремента и декремента значения. Это специальный файл, который содержит баланс карточного счета, и над которым определены операции кредитования (пополнения счета карты) и дебетования (списание со счета карты). Операции можно проводить только в случае предъявления карточке (точнее, конкретному электронному кошельку, поскольку их в памяти карточки может быть несколько) «правильных» ключей. Соответственно, ключи называются ключами кредитования или дебетования. Обычно защита кошелька построена так, что при предъявлении «неправильных» ключей более трех раз, кошелек блокируется. Разумеется, здесь приведено поверхностное описание обеспечения безопасности. В действительности, защита информации в смарт-картах всех без исключения фирм весьма изощренная и отвечает всем необходимым критериям безопасности проведения карточных транзакций. 

   2.2 Штриховой код 

   Не  существует специальных карточных  стандартов на расположение штрихового кода и на состав информации, который  он должен нести. Стандарты на штриховые коды определяют только то, как должен выглядеть напечатанный код (т.н. символику), его размеры, способ кодирования и т.д.

   Международные ассоциации UCC и EAN дополнительно определяют правила, по которым строится штриховой  код, использующийся их членами. Обычно, это производители различных товаров. Например, в широко известной символике EAN-13 первые несколько цифр кодируют производителя товара, на упаковку которого нанесен данный код. Поскольку торгово-сервисные организации широко используют штриховое кодирование в торговых технологиях, то имеет смысл остановиться на данной символике. Правилами EAN определено, что коды EAN-13, начинающиеся с двойки, используются «внутри» торгово-сервисной организации, например, для кодирования весового товара. Все остальные коды идентифицируют конкретных товаропроизводителей и их продукцию. Отсюда правило: если торгово-сервисная организация использует EAN-13 для идентификации карточек, то номер карточки должен начинаться с цифры 2, и желательно (в стандартах этого нет, но такова практика) следующая цифра должна быть либо 0, либо 9 (чтобы сделать различия между весовым товаром и карточкой). Последняя из 13-ти цифр, составляющих код, согласно правилам EAN-13 - контрольная. Она рассчитывается на основании первый 12-ти цифр по известному алгоритму; как правила, производители карточек умеют ее вычислять.

   Штриховой код лучше всего наносить на карточку на месте магнитной полосы в символике Code 128 (по умолчанию она установлена  практически на всех сканерах штриховых  кодов). И в формате второй дорожки магнитной карты. Такое представление информации хорошо тем, что многие программы умеют работать с данными второй дорожки. С технической точки зрения не имеет значение, откуда получены эти данные: с магнитной полосы или из штрихового кода. Поскольку стандартов для карточек на представление штрихового кода нет, это наиболее грамотное техническое решение.  

    2.3 Карточки с магнитной полосой 

    Как платежный инструмент пластиковые  карточки с магнитной полосой  представляют собой средство удаленного доступа к банковскому (карт-) счету, а в этом качестве — средство для составления первичных документов.

    Особенностью  банковских карт с магнитной полосой является обязательное наличие карт-счета. Карт-счет открывается на имя владельца — физического или (для корпоративных карточек) юридического лица. Это особенно важно, поскольку во многих белорусских организациях выдача зарплаты работникам, командировочных и т.п. осуществляется через карт-счета.

    Как определенное техническое решение  пластиковые карты с магнитной  полосой представляют собой носитель информации. Основная часть этой информации хранится на трех магнитных дорожках карты в цифровой форме. Дополнительно, в обычной аналоговой форме на карточке содержатся сведения о владельце, банке-эмитенте, сроке действия, номере карты и т.д. Если карточка не предназначена лишь для электронной обработки, то для составления качт-чеков механическим путем часть такой информации наносится на нее путем выдавливания (эмбоссирования).

    В соответствии с международным стандартом ISO 7813 на магнитной полосе карты:

1. на первой дорожке записываются:

• номер карты;
• ФИО владельца карты;
• срок истечения действия карты;
• сервис-код (максимальная длина записи — 89 символов);

2. на второй дорожке записываются:

• номер карты;
• срок истечения;
• сервис код — это код из двух цифр, определяющий допустимые для данной карты типы операций, например, 03 — только операции через банкомат; 20 — операции требуют авторизации у эмитента и т.д.;

3. на третьей дорожке (стандарт ISO 4909) размещаются в том числе:

• номер карты;
• код валюты;
• максимальная сумма, авторизуемая за период;
• сумма, допустимая к авторизации в текущий период;
• начало периода (в виде одной цифры года и трех цифр дня в году);
• продолжительность периода в днях (2 цифры);
• количество доступных попыток представления ПИН-кода (одна цифра, начальное значение — 3);
• параметры контроля ПИНа (до шести цифр, определяющих алгоритм, ключ и результат вычислений, используемые для автономной проверки ПИН-кода);
• тип карт-счета и сервис-ограничение (2 цифры);
• срок действия (4 цифры);
• секретный номер карты (некий упрощенный вариант цифровой подписи содержимого магнитной полосы).

    Информация  на первой и второй дорожках предназначена исключительно для считывания и многократного воспроизведения ее в содержании электронных платежных документов. Обновляться по воле владельца она не может. Информация на первой дорожке фактически дублируется на второй, но на первой есть дополнительные реквизиты. Третья дорожка содержит часть данных со второй и дополнительные данные, связанные с возможностью обновлять на ней информацию.

    С использованием магнитной карточки возможно совершение двух традиционных видов операций:

1. снятие наличных через банкомат (реже — обменный пункт);
2. расчеты с организацией торговли и сервиса (далее — ОТС) за товары (работы, услуги).

3. Области применения пластиковых  карт

   3.1 Операции через банкомат

    Банкомат — это электронно-механический, программно-технический    комплекс, обеспечивающий выдачу и прием наличных денежных средств; совершение, в соответствии с локальным нормативным актом банка, других операций, не противоречащих законодательству Республики Беларусь, с использованием карточки, а также регистрацию этих операций.

    При использовании пластиковых карточек, как и любых других современных  инструментов и электронных технологий, важнейшее значение имеют вопросы  доверия и безопасности. Исторически  их решения вначале находились на технологическом уровне и лишь затем находили правовое урегулирование. Но и сейчас они несут на себе технологическую нагрузку:

1. аутентификация — это процесс, в рамках которого выполняется проверка личности пользователя компьютера или сети, который фактически подтверждает, что пользователь именно тот, за кого себя выдает. Аутентификация может быть:

• по вещественному признаку (т.е. средством выступает определенная вещь, которая принадлежит пользователю — ключ подписи, сама карта);
• по запоминаемому признаку на основе информации, известной пользователю (ПИН-код, кодовая фраза, персональный идентификатор);
• по личному признаку на основе характеристик, зависящих от физических свойств или качеств пользователя (биометрические характеристики, отпечатки пальцев, снимок сетчатки глаз, геометрия руки, голос, черты лица, манера вводить текст и динамические характеристики подписи);

2. идентификация — процедура, определяющая, известен ли конкретный пользователь системе;

3. авторизация — предоставляет конкретному пользователю доступ к определенным системным ресурсам.

    В сделках с банковскими картами  используются аутентификация и авторизация. Идентификация применяется в дистанционных Интернет-сделках в тех случаях, если стороны используют услуги независимого сертифицирующего центра или выполняющего аналогичные функции банка.

    Для получения доступа к своему карт-счету  через банкомат владелец карточки вводит соответствующую информацию, после  чего банкоматом формируется сообщение  в электронной форме, в содержании которого присутствуют две группы основных элементов:

1. введенный ПИН и считанные с магнитной полосы данные (идентификационный номер, срок действия карточки и др.);
2. считанные с магнитной полосы верификационные значения данных первой группы: PW (PIN Verification Value) — персональный идентификационный номер, зашифрованный по алгоритму DEA в соответствии со стандартом ISO 8372 на ключе банка-эмитента, а также CW (Card Verification Value) — номер и срок действия карточки, также зашифрованные по алгоритму шифрования DEA на ключе банка-эмитента.

    Качественное и количественное удостоверение права распоряжения счетом (авторизация) разделены во времени. Когда речь идет о разовом платеже на незначительную сумму, банк-эмитент доверяет авторизацию от его имени (удостоверение прав держателя) процессинговому центру платежной системы. Такая авторизация называется stand in authorisation. Для этого банк-эмитент передает процессинговому центру некоторые из своих специальных ключей шифрования, по которым можно расшифровать определенные верификационные значения данных, считанных с картинки. Банк-эмитент или процессинговый центр вначале расшифровывают полученное сообщение целиком. Затем на специальных ключах банка-эмитента расшифровывают верификационные значения и сравнивают полученные данные с данными первой группы. Их совпадение удостоверяет право владельца карточки распоряжаться счетом.

    Если  авторизацию осуществляет банк-эмитент, то содержание ответного сообщения  указывает пределы возможного требования владельца. Когда авторизацию осуществляет процессинговый центр (т.е. банкомат «чужой»), то остаток и возможный невыбранный кредит в систему банкомата не сообщаются. Поэтому банки-эмитенты доверяют процессинговому центру осуществлять авторизацию только на разовые платежи и на незначительные суммы. Если владелец карточки вновь совершит платеж даже на небольшую сумму, то авторизация будет производиться уже банком-эмитентом.

    При оформлении каждого платежа специальная  вычислительная система банкомата выполняет две распечатки на бумажных носителях:

1. Первая содержит краткую информацию: дату платежа; сумму платежа и идентификационные данные банкомата (адрес месторасположения; индивидуальный номер и др.). По своим юридическим качествам она идентична кассовому чеку.
2. Вторая содержит более подробную информацию о сделке, фактически полностью дублируя содержание платежного документа в электронной форме.

   3.2 Расчеты с ОТС

    Расчеты с ОТС за проданные товары (оказанные  услуги) осуществляются держателями  карточек через специальные технические  устройства — платежные (или POS-) терминалы. Чаще всего они электронные, хотя устаревшие технологии используют еще механические терминалы (импринтеры).

    POS (Point-of-Sale) - терминал — специализированный микрокомпьютер с энергонезависимой памятью для хранения информации о транзакциях и нестандарстной переферией: карт-ридером (иногда несколькими: одним — для чтения магнитной полосы, одним или двумя — для обмена с микросхемой карты), принтером для печати чеков, встроенным модемом, а также несколькими портами, позволяющими подключать терминал к выделенной линии или связывать несколько терминалов в локальную сеть. Некоторые POS-терминалы включают только минимальный набор компонентов, другие же компоненты, такие как принтер и(или) картридер, для обмена с микросхемой карты, подключаются как отдельные устройства⁵.

    В части оформления платежных документов в электронной форме он фактически является миниатюрным банкоматом. Как и банкомат, POS-терминал имеет устройства считывания электронной информации с магнитной полосы карточки, клавиатуру, мини-экран и печатающее устройство. Однако POS-терминалы в отличие от банкоматов не выполняют в автоматическом режиме действия, которые помимо оформления платежа позволяют считать сделку купли-продажи завершенной. Они позволяют только оформить платежные документы в электронной форме при участии владельца карточки и ОТС и направить их в банк. Если банкомат — это автоматический продавец и кассир, то POS-терминал всего лишь вход в электронную среду для проведения безналичного платежа в электронной форме.