Model czterech rogów dla bezpieczeństwa płatności

Model Four Corners , często nazywany schematem czterostronnym, jest najczęściej stosowanym schematem kartowym w systemach płatności kartowych na całym świecie. Model ten został wprowadzony w latach 90. Jest to przyjazny dla użytkownika system płatności kartowych oparty na systemie rozliczeń międzybankowych i modelu ekonomicznym opartym na wielostronnych opłatach interchange (MIF) uiszczanych pomiędzy bankami lub innymi instytucjami płatniczymi.

Najważniejszą zaletą korzystania z modelu Four Corners jest to, że karty bankowe są akceptowane wszędzie. Dodatkowe korzyści obejmują:

Gwarancja, że sprzedawca otrzyma płatność
Niezawodność i bezpieczeństwo ze względu na mniejsze ryzyko nadużyć
Identyfikowalność jako broń przeciwko praniu pieniędzy

Bezpieczeństwo w modelach Four Corners jest standaryzowane przez Payment Card Industry Data Security Standard (PCI DSS). Standard PCI jest wymagany przez marki kart, ale zarządzany przez Payment Card Industry Security Standards Council .

Opis

Model Four Corner obejmuje kilka przepływów między jego czterema komponentami, które wykonują różne zadania. System ten jest jednak niezwykle skomplikowanym mechanizmem wymagającym procesów rozliczeniowych i rozrachunkowych.

W Modelu Akceptant łączy się ze swoim Agentem rozliczeniowym, który poprzez schemat łączy się z Wydawcą karty Posiadacza Karty. Zwykle istnieje jedna lub więcej osób trzecich, które działają jako przełącznik lub brama między Sprzedawcą a Agentem rozliczeniowym.

Zazwyczaj Emitent różni się od Przejmującego. Kiedy tak się dzieje, potrzebne są procesy międzybankowe. Procesy te obejmują przekazywanie pieniędzy i rekompensat między zaangażowanymi bankami.

Model Four Corners rozpoczyna się od dokonania przez Posiadacza Karty zakupu przy użyciu jego karty płatniczej u sprzedawcy. Akceptant uruchamia przepływ uwierzytelnienia do swojego banku rozliczeniowego, a następnie bank rozliczeniowy wysyła informacje do banku wydawcy. Ten przepływ jest przesyłany przez rozległą sieć przełączników, bramek i serwerów zarządzanych przez odpowiednią sieć schematów kart.

Powracający przepływ autoryzacji będzie binarny jako odpowiedź pozytywna (autoryzowana) lub negatywna (odrzucona). W tym momencie zwykle wystąpi jeden z następujących scenariuszy:

Pozytywna autoryzacja skutkuje co do zasady dostarczeniem przez Sprzedawcę zakupionych towarów lub usług oraz wydrukiem paragonu.
Negatywna odpowiedź spowoduje, że Sprzedawca ponownie wprowadzi dane karty lub zażąda innej metody płatności.

Model Four Corners może być również zastosowany do innych scenariuszy płatności, w tym korzystania z bankomatu, gdzie pozytywna autoryzacja spowoduje wydanie posiadaczowi karty banknotów i potwierdzeń transakcji. Jednak negatywna odpowiedź spowoduje odrzucenie karty bankowej i brak wypłaty środków.

Często model z czterema rogami przekształca się w model z trzema rogami (trójkąt). Dzieje się tak, gdy bank rozliczeniowy jest pomijany, a przepływ autoryzacji kierowany jest bezpośrednio do Wydawcy przez przełączniki i bramki. Pominięcie banku rozliczeniowego przyspiesza transakcję i stwarza mniej problemów w sieci płatniczej.

Uczestnicy

Model Four Corners obejmuje czterech uczestników: posiadacza karty, sprzedawcę , wydawcę i agenta rozliczeniowego .

1. Posiadacz karty

Posiadaczem karty jest konsument, któremu bank lub inny rodzaj instytucji finansowej wydał kartę płatniczą. Posiadacz karty nie jest właścicielem tej karty. Zamiast tego pozostaje własnością emitującej instytucji finansowej, np. Emitenta. Posiadacz Karty otrzymuje upoważnienie do posługiwania się Kartą.

Zwykle Posiadacz karty ma rachunek w instytucji finansowej wydającej kartę bezpośrednio powiązany z kartą płatniczą, np. bankową kartą debetową. Nie zawsze tak jest, np. w przypadku wręczania pracownikom firmowych kart kredytowych lub kart flotowych/paliwowych.

2. Kupiec

Sprzedawca, często nazywany „Akceptantem”, jest sprzedawcą otrzymującym płatność od Posiadacza karty/konsumenta. Sprzedawca akceptuje płatności kartą za towary lub usługi, które sprzedaje Posiadaczowi Karty.

Przykład handlowców to:

Bankomat automatyczny (bankomat) jest również uważany za handlowca, mimo że jest to w pełni zautomatyzowany bankomat. Jego podstawową rolą jest akceptacja kart płatniczych.

3. Emitent

Wydawcą jest bank lub inna instytucja finansowa, która wydaje kartę płatniczą wydaną Posiadaczowi karty. Istnieją zazwyczaj trzy różne rodzaje kart płatniczych:

Wydawca udostępnia karty płatnicze w imieniu sieci płatności kartowych. Takie sieci obejmują:

Sieć płatności kartą może być również prywatną siecią o obiegu zamkniętym, taką jak system krajowy.

Bank Emitenta zajmuje się produkcją swoich kart płatniczych i zarządzaniem związanym z kartami kryptograficznymi. Zwykle odbywa się to za pośrednictwem firmy integrującej karty.

4. Nabywca

Agent rozliczeniowy udostępnia narzędzia wykorzystywane przez Akceptanta do akceptacji kart płatniczych. Często agentem rozliczeniowym jest system strony trzeciej, który może nie być bezpośrednio bankiem, w którym handlowiec ma konto. Acquire zazwyczaj dostarcza Sprzedawcy sprzęt i oprogramowanie potrzebne do przetwarzania transakcji obejmujących płatności kartą.

Agent rozliczeniowy zarządza ostatecznymi kodami zwrotnymi dla transakcji płatniczych. Kody te będą albo autoryzacją obciążenia, albo odrzuceniem transakcji. Zadaniem Agenta rozliczeniowego w ramach Modelu Czterech Kątów jest autoryzacja płatności od Posiadacza Karty na rzecz Sprzedawcy przy zakupie towaru lub usługi.

Technologia

Model Four Corner wymaga bezpiecznych transakcji typu end-to-end . Transakcje te są zaszyfrowane i muszą być chronione na każdym rogu. Korzystanie ze specjalistycznych narzędzi, takich jak sprzętowe moduły bezpieczeństwa (HSM) i automatyczne zarządzanie kluczami, jest istotną częścią modelu.

Moduły bezpieczeństwa sprzętowego

Kryptografia jest wymagana między wszystkimi podmiotami zaangażowanymi w model Four Corner. Wiele kluczy kryptograficznych i operacji musi być wykonywanych w bezpiecznym środowisku, takim jak sprzętowy moduł zabezpieczeń (HSM). Moduły HSM są niezbędne do obsługi rosnącej liczby transakcji i odpierania ataków ze strony wykwalifikowanych cyberprzestępców.

Posiadacze kart: Jeśli ich karta płatnicza jest wyposażona w chip, co jest obowiązkowe w przypadku transakcji EMV, działa on jak mikroprzenośny HSM.
Sprzedawcy: Mniejsze firmy zazwyczaj mają jeden lub więcej terminali płatniczych (również terminal POS) z bezpieczną pamięcią i sprzętem kryptograficznym, który pozwala maszynom działać jako małe moduły HSM. Wyizolowane transakcje płatnicze w bankomatach są grupowane, a terminale POS zarządzane. Te koncentratory wymagają podłączonych do sieci modułów HSM, aby zapewnić bezpieczeństwo transakcji podczas ich gromadzenia.
Wydawcy: potrzebują modułów HSM do wydawania kart, przechowywania kluczy i zarządzania kryptografią powiązaną z kartami. Wydawcy potrzebują również modułów HSM do autoryzowania przepływu kryptograficznego.
Agenci rozliczeniowi: Zgodnie z modelem czterech rogów, agenci rozliczeniowi muszą zarządzać wszystkimi kluczami terminali finansowych dla handlowców i przetwarzać przepływ kryptograficzny w kierunku emitenta. Te procesy wymagają dużej liczby wydajnych i niezawodnych modułów HSM.

Systemy zarządzania kluczami

Oprócz modułów HSM potrzebny jest nowoczesny system zarządzania kluczami, który zapewni ramy do zarządzania wieloma kluczami podczas ich cyklu życia. Istnieją różne rodzaje systemów zarządzania kluczami, które można wdrażać na różne sposoby.

Podstawowe funkcje KMS w zakresie bezpieczeństwa płatności obejmują:

Obsługa różnych typów i formatów kluczy
Certyfikowany sprzętowy generator liczb losowych do generowania silnych kluczy w HSM
Certyfikowane, odporne na manipulacje urządzenie sprzętowe do ochrony przechowywanych kluczy
Automatyzacja wykonywania typowych lub żmudnych zadań
Logiczna kontrola dostępu z silnym uwierzytelnianiem użytkownika
Odporny na manipulacje dziennik audytu do audytów zgodności

Zobacz też