Разработка программного обеспечения для оценки уязвимости банковских карточек

АННОТАЦИЯ
     На сегодняшний день держатели платежных карт способствуют активному развитию данного рынка, путем использования банковских карт для различных сервисов. Данный факт может использоваться злоумышленниками для проведения мошеннических операций. На сегодняшний день в РК нет официальной опубликованной статистики о мошенничестве с банковскими картами. Есть международные стандарты, методы и системы оценки уязвимостей, которые приняты официально и дают общую малоинформативную оценку. Автоматический поиск уязвимостей не показывает всей картины, для более детальной проверки требуется индивидуальный подход для каждого случая. Но в интересах национальной безопасности, также в силу особенностей нашего рынка проверка безопасности казахстанских банков не должна проводиться зарубежными экспертами.  
     В связи с этим целью дипломной работы является разработка программного обеспечения для оценки уязвимости банковских карточек.  
     Для достижения поставленной цели выполнены следующие задачи: 
     ­ Изучение классификации банковских карт, обзор стандартов обеспечения безопасности банковских карточек;
     ­ Описание бизнес-процессов работы с банковскими картами;
     ­ Изучение существующих методов оценки уязвимостей банковских карт;
     ­ Выбор метрик для оценки банковских карт;
     ­ Разработка программного обеспечения для оценки уязвимости.
     Объект дипломного исследования – уязвимости банковских карточек. 
     В первом разделе дается описание рассматриваемой предметной области: 
    * приведено описание различных классификаций банковских карт;
    * описаны базовые бизнес-процессы работы с банковскими картами;
    * изучены виды мошеннических операций с банковскими картами;
    * был сделан обзор существующих стандартов обеспечения безопасности банковских карт.
     Во втором разделе приводится описание метрик оценки уязвимости банковских карт. За основу был выбран стандарт оценки уязвимостей CVSS 3.0, который состоит из следующих групп метрик: базовые, временные, контекстные. Далее были выбраны основные метрики с учетом особенностей казахстанского рынка, которые будут использованы в программном обеспечении, и описана методика расчета оценки банковской карты. Исходя из описанной математической модели, были определены требования к программному обеспечению по расчету оценки уязвимости банковских карт. Описана структура базы данных системы, которая будет хранить уязвимости и всю информацию о них.
     В третьем разделе описаны используемые средства разработки программного обеспечения, приведена диаграмма классов, структура программного обеспечения, методические указания по работе с системой. 
     

СОДЕРЖАНИЕ

ВВЕДЕНИЕ	4
1	ОБЗОР ПРЕДМЕТНОЙ ОБЛАСТИ	6
1.1	Классификация платежных карт	8
1.1.1	Платежные карты: кредитные и дебетовые	11
1.1.2	Платежные карты: корпоративные и личные	20
1.1.3	Платежные карты: магнитные и чиповые	21
1.2	Операции с банковскими картами	22
1.2.1	Процесс аутентификации магнитной карты и карты с чипом	23
1.2.2	Процесс расчета пластиковыми картами	26
1.2.3	Мошенничество с банковскими картами	29
1.3	Современные требования безопасности банковских карт	32
1.3.1	Стандарты международных платежных систем: PCI DSS и смежные стандарты	33
1.3.2	Описание требований стандарта PCI DSS	35
2	МЕТОД ОЦЕНКИ УЯЗВИМОСТЕЙ БАНКОВСКИХ КАРТ	38
2.1	Система оценки уязвимостей CVSS 3.0	38
2.2	Метрика для оценки уязвимости банковских карт	42
2.2.1	Базовые метрики	42
2.2.2	Временные метрики	47
2.2.3	Контекстные метрики	49
2.3	Методика расчета оценки уязвимости банковской карты	53
3 РАЗРАБОТКА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ДЛЯ ОЦЕНКИ УЯЗВИМОСТЕЙ БАНКОВСКИХ КАРТ	57
3.1	Требования к системе расчета оценки уязвимости банковских карт	57
3.2	Описание средств разработки	61
3.3	Структура базы данных системы	68
3.4	Работа с системой оценки уязвимостей банковских карт	71
ЛИТЕРАТУРА	75
ПРИЛОЖЕНИЕ А	77

     

     ВВЕДЕНИЕ
     На сегодняшний день в Республике Казахстан по данным официального интернет-ресурса  АО «Народный Банк Казахстана» [1]  по состоянию на 1 января 2017 года в обращении находится 15,7 млн. платежных карточек, а количество держателей данных карточек  составляет  – 14,2 млн. человек.  Сегодня 26 банков Казахстана осуществляло эмитирование платежных карточек,  выпускают и распространяют платежные карточки международных систем (доля которых составляет – 98,7%). Кроме того, банки Казахстана выпускают платежные карточки локальных систем: Аltyn Cаrd – АО «Народный Банк Казахстана» и локальная карта Ситибанка Казахстан - АО «Ситибанк Казахстан».  Самые распространенные -  дебетные карточки, их доля около 81,0 %, доля кредитных карточек – 15,1%. На долю дебетных с кредитным лимитом и предоплаченных карточек приходится 3,0% и 0,8% соответственно. Основная доля безналичных платежей совершена посредством ПОС-терминалов (55,8% и 56,2% от общего количества и объема безналичных платежей) и интернет (35,3% и 31,0% соответственно). Операции по выдаче наличных денег в основном совершались посредством банкоматов (94,9% и 85,9% от общего количества и объема операций по выдаче наличных денег). 
     Таким образом, держатели платежных карт способствуют активному развитию данного рынка, путем использования банковских карт для различных сервисов. Данный факт может использоваться злоумышленниками для проведения мошеннических операций. На сегодняшний день в РК нет официальной опубликованной статистики о мошенничестве с банковскими картами. Банки-эмитенты во избежание финансовых потерь и ухудшения репутации заинтересованы в системах оценки уязвимостей, во внедрении методов и систем по выявлению и прогнозированию уязвимостей. 
     Есть международные стандарты, методы и системы оценки уязвимостей, которые приняты официально и дают общую малоинформативную оценку. Автоматический поиск уязвимостей не показывает всей картины, для более детальной проверки требуется индивидуальный подход для каждого случая. Но в интересах национальной безопасности, также в силу особенностей нашего рынка проверка безопасности казахстанских банков не должна проводиться зарубежными экспертами.  
     В связи с этим целью дипломной работы является разработка программного обеспечения для оценки уязвимости банковских карточек.  
     Для достижения поставленной цели выполнены следующие задачи: 
     ­ Изучение классификации банковских карт, обзор стандартов обеспечения безопасности банковских карточек;
     ­ Описание бизнес-процессов работы с банковскими картами;
     ­ Изучение существующих методов оценки уязвимостей банковских карт;
     ­ Выбор метрик для оценки банковских карт;
     ­ Разработка программного обеспечения для оценки уязвимости.
     Объект дипломного исследования – уязвимости банковских карточек. 
     В первом разделе дается описание рассматриваемой предметной области: 
    * приведено описание различных классификаций банковских карт: по материалу, на основании механизма расчетов, по категории клиентуры, по сфере использования, по виду проводимых расчетов, по территориальной принадлежности и т.д.;
    * описаны базовые бизнес-процессы работы с банковскими картами;
    * изучены виды мошеннических операций с банковскими картами;
    * был сделан обзор существующих стандартов обеспечения безопасности банковских карт, таких как: стандарты мониторинга транзакций для обеспечения контроля рисков, связанных с мошенничеством, ISО 8583, стандарты международных платежных систем PCI DSS и др.
     Во втором разделе приводится описание метрик оценки уязвимости банковских карт. За основу был выбран стандарт оценки уязвимостей CVSS 3.0, который состоит из следующих групп метрик: базовые, временные, контекстные. Далее были выбраны основные метрики с учетом особенностей казахстанского рынка, которые будут использованы в программном обеспечении, и описана методика расчета оценки банковской карты. Исходя из описанной математической модели, были определены требования к программному обеспечению по расчету оценки уязвимости банковских карт. Описана структура базы данных системы, которая будет хранить уязвимости и всю необходимую информацию о них.
     В третьем разделе описаны используемые средства разработки программного обеспечения. 
     Для разработки серверной части была использована технология: Jаvа – объектно-ориентированный, структурный, императивный, функциональный, кроссплатформенный язык программирования. 
     Для разработки клиентской части использовались следующие технологии: CSS – формальный язык описания внешнего вида документа, написанного с использованием языка разметки; HTML  – язык для структурирования и представления содержимого всемирной паутины; JаvаScript – прототипно-ориентированный сценарный, кросс-платформенный, мультипарадигменный язык программирования; Еxt JS (SеnchаЕxt JS) – библиотека JаvаScript для разработки Wеb-приложений и пользовательских интерфейсов.
     В качестве среды разработки была выбрана среда интегрированной разработки программного обеспечения IntеlliJ IDЕА. 
     Далее приведена диаграмма классов, структура программного обеспечения, методические указания по работе с системой. 
     
     

     1 ОБЗОР ПРЕДМЕТНОЙ ОБЛАСТИ
     
     На конец 2016 года на территории Республики Казахстана электронные платежные услуги с использованием и без использования платежных карточек предоставляли 27 банков и АО «Казпочта» [1].  По состоянию на 1 января 2017 года в обращении находится 15,7 млн. платежных карточек, а количество держателей данных карточек составило – 14,2 млн. человек. В таблице 1 представлены статистические материалы официального интернет ресурса «Национального Банка Казахстана» - количество карточек в обращении на 1 января  2016 и 1 января 2017 годов.  Основную долю платежных карточек в обращении составляют международные платежные системы – 98,7%, которые представлены платежными картами ВИЗА Интернешнл  (71,1%), МастерКард  (19,7%). Локальные системы занимают 1,3% рынка и представлены такими системами, как Аltyn Cаrd и локальные карточки Ситибанка Казахстан.

Таблица 1 - Количество карточек в обращении [1]

1 января 2016
1 января 2017
Количество карточек в обращении (тыс. ед.), в т.ч.:
17 162,4
15 702,8
Локальные системы
824,9
198,1
Международные системы, в т.ч.:
16 337,5
15 504,6
Виза Интернешнл , из них:
13 315,1
11 167,5
-       дебетные
9 187,2
8 547,4
-       кредитные
2 235,5
2 081,3
-       дебетные с кредитным лимитом и предоплаченные
1 892,4
538,8
МастерКард  Wоrldwidе, из них:
2 480,2
3 099,1
-       дебетные
2 288,5
2 775,3
-       кредитные
99,1
257,0
-       дебетные с кредитным лимитом и предоплаченные
92,6
66,8
     
     Наиболее распространенными среди казахстанцев являются дебетные карточки -  81,0%, доля кредитных карточек – 15,1%, также используют дебетные с кредитным лимитом и предоплаченные. Согласно отчету Национального Банка Республики Казахстан за 2016 год общее  количество  эмитированных  и  распространенных  платежных карточек на  1  января 2017 года  составило 15,7 млн. единиц, среднее количество используемых платежных карточек в 2016 году составило 8,0 млн. единиц, что превышает соответствующий показатель 2015 года на 11,3%.  
     В 2016 году сохранилась динамика роста активных платежных карточек (карточки, используемые для совершения операций). Так, среднее количество используемых платежных карточек в 2016 году составило 8,0 млн. единиц, что превышает соответствующий показатель 2015 года на 11,3% (рисунок 1). Карточные продукты активно используют порядка 45%  населения Казахстана [1]..
     
     
     Рисунок 1 – Карточки, используемые для совершения операций
     В Таблице 2 приведены общее количество держателей карт на 1 января 2016 года и 1 января 2017 года  [1]. 
Таблица 2 – Количество держателей карточек

1 января 2016
1 января 2017
Количество держателей  карточек (тыс. чел.), в т.ч.:
14 309,5
14 208,9
Локальные системы
713,0
166,1
Международные системы, в т.ч.:
13 596,5
14 042,8
Виза Интернешнл 
10 881,9
10 251,8
МастерКард  Wоrldwidе
2 328,0
2 829,0
     
     На 1 января 2017 года в Казахстане действовали 66,1 тыс. принимающих к оплате платежные карточки торговых предприятий, что на 49,8% превысило их количество на 1 января 2016 года. При этом оборудование для обслуживания платежных карточек было размещено в 84,2 тыс. торговых точках (рост на 44,1%).  Сеть обслуживания платежных карточек по состоянию на 1 января 2017 года была представлена следующим образом: 9,6 тыс. банкоматов (увеличение по сравнению с ситуацией на 1 января 2016 года на 4,5%, или 0,4 тыс. единиц), 107,5 тыс. ПОС-терминалов (рост на 38,1%, или 29,6 тыс. единиц). При этом в среднем по республике на тысячу держателей карточек приходится 7 терминалов и 1 банкомат. В Таблице 3 приведены данные о терминалах, банкоматах, импринтерах на 2016 и 2017 года [1]. 
Таблица 3 – Сравнительная характеристика

1 января 2016
1 января 2017
Количество ПОС - терминалов (шт.), в т.ч.:
77 857
107 498
-       у торговых предприятий
70 399
99 433
-       в банках
7 458
8 065
Количество импринтеров (шт.), в т.ч.:
3
4
-       у торговых предприятий
1
1
-       в банках
2
3
Количество банкоматов (шт.) , в т.ч.:
9 146
9 561
-       с функцией выдачи наличных денег
7 793
8 016
-       с функцией выдачи и приема наличных денег
1 353
1 545
Количество торговых предприятий (ед.)
44 113
66 079
Количество банковских киосков (ед.)
1 160
1 522
Количество платежных терминалов (ед.)
14 273
14 447
     
     
1.1 Классификация платежных карт
     На сегодняшний день выделяют много признаков, по которым классифицируют банковские карты [2]. На рисунке 2 представлены базовые классификации банковских карт.
     

     Рисунок 2– Классификация банковских карт
     
     По материалу, из которого они изготовлены: бумажные (картонные), пластиковые, металлические.
     

     Рисунок 3 – Классификация банковских карт по изготовленному материалу
     Для идентификации владельца карты часто используются бумажные (картонные) карты, запаянные в прозрачную пленку, -  ламинированные карты. Ламинирование довольно дешевая и легкодоступная процедура, в связи с этим, если карту используют для расчетов, с целью повышения защищенности от подделок применяют пластиковые карты, которые изготавливаются по более усложненной технологии. В то же время в отличие от металла пластик легко поддается термической обработке и давлению (эмбоссированию), что весьма важно для персонализации карты перед выдачей ее клиенту.
     По общему назначению: идентификационные, информационные карты, карты для финансовых операций [2].
     Примером может выступить крупная фирма, которая для каждого сотрудника выпускает карту, которая:  
     * будет пропуском, разрешающим вход/выход на предприятия, например карта студента ЕНУ им. Л.Н.Гумилева (рисунок 4)


Рисунок 4 – Пропуск – банковская карта студента ЕНУ им. Л.Н. Гумилева
     * карта может содержать закодированную информацию о владельце карты  (информационная функция);
     * карта для расчетов в буфетах исупермаркетах данной компании (расчетная функция).
     На основании механизма расчетов: двусторонние системы  и многосторонние системы. Первые возникли на базе 2-х сторонних соглашений между член ами расчетов, при которых владельцы карт могут использовать их для покупки товаров в замкнутых сетях, контролируемых эмитентом карт. Вторые обеспечивают владельцам карт возможность покупать товары в кредит у различных торговцев и организаций сервиса, которые признают эти карты в качестве платежного средства. Многосторонние системы возглавляют национальные ассоциации банковских карт, а также компании, выпускающие карты туризма и развлечений. 
     По типу проводимых расчетов: кредитные и дебетовые. Первые связаны с открытием кредитной линии в банке, что дает возможность владельцу пользоваться кредитом при покупке товаров и при получении кассовых ссуд. Владельцу кредитной карточки открывается особый карточный счет и устанавливается лимит кредитования по ссудному счету на весь срок действия карты, а также разовый лимит на сумму одной покупки. В пределах разового лимита оплата покупки может производиться без авторизации. Дебетовые карты предназначены для получения наличных в банковских автоматах или для оплаты товаров с расчетом через электронные терминалы. Деньги при этом списываются со счета владельца карты в банке. Дебетовые карты не позволяют оплачивать покупки при отсутствии денег на счете.
     Некоторые авторы выделяют в особую категорию платежные карты как разновидность кредитных карт. Отличие стоит в том, что общая сумма долга при использовании платежной карты должна погашаться целиком в течение определенного времени после получения выписки без права продления кредита.
1.1.1 Платежные карты: кредитные и дебетовые
     Отсутствие нормативно-правового определения понятия платежной карты и вызванное этим неправильное толкование данного термина привели к тому, что на банковском рынке Казахстана и СНГ долгое время все типы платежных карт именовались кредитными. Причем такое понимание платежной карты присутствовало не только на бытовом уровне, но и фигурировало практически во всех выпущенных в 1993-1995 гг. нормативных актах. Только в последние годы банковские карты в документах стали справедливо называться платежными.
     Между тем банковские карты могут быть не только кредитными, но и дебетовыми, имеющими другие характеристики и предоставляющими их владельцам совершенно другие возможности. Кроме этого могут выпускаться и смешанные типы карт, сочетающие черты кредитных и дебетовых. А в некоторых случаях при наступлении определенных условий дебетовая карта может превращаться в кредитную.
     Кредитная карта представляет собой такое средство расчетов, при котором эмитент берет на себя не только обязанность перечисления средств клиента на счета его контрагентов, но и риск немедленной оплаты товаров, работ и услуг ее владельца в пределах установленного им лимита кредитования. Таким образом, кредитная карта позволяет ее владельцу при совершении любой покупки отсрочить ее оплату путем получения у банка кредита (кредитной линии).
     Лимит кредитования определяется банком-эмитентом каждому владельцу карты на его ссудном счете. Этот счет абсолютно независим от обычного (текущего, расчетного и пр.) счета клиента в банке.
     Как правило, перед открытием ссудного счета банк или соответствующая компания по выпуску карточек скрупулезно проверяют финансовое положение будущего владельца кредитной карты, а также детали предыдущих кредитных операций клиента - его "кредитную историю". На основании этих данных эмитент определяет сальдо требуется возможности клиента на ссудном счете, а также суммы возможных поступлений и списаний.
     Следует заметить, что эмитентами, как правило, устанавливаются конкретные сроки, в пределах которых клиент обязан вернуть банковский кредит. В случае задержки возврата требуетсях средств банк вправе взимать заранее оговоренные с клиентом проценты за каждый день просрочки. Для этой цели банками довольно часто устанавливается особый страховой депозит, средства которого могут использоваться как для списания задолженности банку, так и для обращения взыскания в пользу возможных кредиторов клиента. Лишь некоторые банки работают без страховых депозитов.
     Многими банками допускается овердрафт - перерасход кредитуемых средств. Разумеется, пользование кредитными ресурсами осуществляется также под проценты, причем в данном случае повышенные.
     С точки зрения западных экономистов, кредитные карточки имеют определенные недостатки, к числу которых относятся: ежемесячные платежи банку в размере 2,5-3% общего товарооборота, уплата вступительного взноса для пользования компьютерной системой банка, дополнительное время для проверки платежеспособности карты и наличия лимита кредитования по ней, заинтересованность продавца в наличном расчете с покупателем. Тем не менее все преимущества кредитных карт очевидны и клиенты заинтересованы в получении именно этого типа платежных карт.
     Дебетовые карты предназначены для немедленной оплаты товаров, работ и услуг путем прямого списания средств с текущего счета владельца карточки на счет его кредитора в пределах имеющейся там суммы. В этом случае при недостаточности средств расчеты банком производиться не будут, так как лимит, вносимый при открытии счета, снижаться не может, а обязательств по кредитованию клиента банк на себя не принимал.
     В итоге, расчеты по дебетовой карточке производятся путем прямого перечисления списанных со счета ее владельца денег, а не за счет получения у банка кредита.
     Как отмечалось выше, в отдельных банках при наступлении определенных условий дебетовая карта может превратиться в кредитную (такие случаи банк определяет для каждого клиента индивидуально). Это значит, что банком при расчетах с использованием карты может быть предоставлен кредит, размер которого банк также определяет индивидуально. Величина кредита, к примеру, может зависеть от сумм постоянных остатков на спецкарточном счете (СКС) и регулярности пополняемости лимита.
     Все очевидные преимущества кредитных и дебетовых карт проявились в так называемых исполнительных, или экзекьютивных, картах, выдаваемых, как правило, высокооплачиваемым клиентам, крупным бизнесменам и т.п. Такой тип платежных карт считается наиболее престижным и отличается более крупным размером минимального депозита, дороговизной их открытия и обслуживания, а также более высоким лимитом кредитования в сочетании с простотой получения наличных денег. Представителями исполнительных карточек сегодня являются "золотые", "платиновые", "премиальные" и др.
     В качестве гарантии чека была выпущена специальная чековая гарантийная карта (Chеck Guаrаntее Cаrd). Она выдается банком, где открыт счет клиента, и применяется для того, чтобы избежать получения от недобросовестного клиента необеспеченного чека или чека с поддельной подписью.
     Появление таких карточек связано с широким распространением одной из форм чекового кредита, которая основана на наличии у того или иного лица обычного текущего счета. Чековая гарантийная карта предусматривает автоматическое предоставление кредита в момент исчерпания остатка на чековом счете. При такой системе чеки принимаются к оплате до определенного оговоренного лимита, который может составлять от 100 до $500, а иногда и больше. Подобная система иногда называется овердрафтными счетами. В большинстве случаев кредит выдается автоматически, как только сумма чека превысила остаток на счете. Такие ссуды могут погашаться либо в процессе поступления на счет обычных вкладов, либо чаще всего специальными взносами.
     Карточки гарантии чеков используются для идентификации клиента. Указанная система весьма привлекательна своими возможностями расширения сферы применения чековых платежей. На гарантийных картах обычно имеется идентификационый номер, срок их действия и подпись клиента. Для идентификации привилегированных клиентов некоторые банки выпускают гарантийные карточки без условий овердрафта. Такие карточки используются владельцами еврочеков и других чеков, имеющих хождение в нескольких странах. В то же время в системе расчетов такими распространенными чеками, как Аmеricаn Еxprеss Trаvеl Chеcks, никакие дополнительные банковские карточки не применяются. Использование чековой гарантийной карточки имеет свои недостатки, к числу которых относится наличие ежедневного лимита - предельной суммы платежа, гарантированной карточкой.
      По категории клиентуры, на которую ориентируется эмитент: обычные карты; серебряные карты, золотые карты.
     Обычные карты предназначены для рядового клиента. Это Виза Clаssic, ЕurоCаrd/МастерКард  Mаss (Stаndаrd).
     Серебряная карта (Silvеr, Businеss) называется бизнес-картой и предназначена для частных лиц, для сотрудников компаний, уполномоченных расходовать в тех или иных пределах средства своей компании.
     Золотая карта (Gоld) предназначена для наиболее состоятельных богатых клиентов.
     В системах Виза и Еигорау есть карточки, которые могут быть использованы только в банкоматах для получения наличных денег и в электронных терминалах: Виза Еlеktrоn, Cirrus/Mаеstrо. Они действуют в пределах остатка на счете, по ним, как правило, держателю карточки кредит не предоставляется, и поэтому они могут быть выданы любому клиенту не выше от уровня его обеспеченности или кредитной истории.
     По характеру использования:
     * индивидуальная карта, выдаваемая отдельным клиентам банка, может быть "стандартной" или "золотой";
     * семейная карта, выдаваемая членам семьи лица, заключившего контракт, который несет ответственность по счету;
     * корпоративная карта выдается юридическому лицу. На основе этой карты могут выдаваться индивидуальные карты избранным лицам (руководителям, главному бухгалтеру или ценным сотрудникам). Им открываются персональные счета, привязанные к корпоративному карточному счету. Ответственность перед банком по корпоративному счету имеет организация, а неиндивидуальные владельцы корпоративных карт.
     По принадлежности к учреждению-эмитенту:
     * банковские карты, эмитент которых - банк или консорциум банков;
     * коммерческие карты, выпускаемые нефинансовыми учреждениями: коммерческими предприятиями  или группой коммерческих предприятий;
     * карты, выпущенные организациями, чьей деятельностью непосредственно является эмиссия пластиковых карт и создание инфраструктуры по их обслуживанию.
     По сфере использования:
     * универсальные карты -  для оплаты любых товаров и услуг;
     * частные коммерческие карты -  для оплаты определенной услуги (например, карты гостиницы, автозаправочных станций, супермаркетов).
     По территориальной принадлежности:
     * национальные, действующие в пределах какого-либо государства;
     * международные, действующие в странах мира;
     * локальные, используемые на территории одного государства;
     * карты, действующие в одном конкретном учреждении.
     По времени использования:
     * ограниченные временным промежутком (иногда с правом пролонгации);
     * неограниченные (бессрочные).
     По способу записи информации на карту:
     * графическая запись;
     * эмбоссирование;
     * штрих-кодирование;
     * кодирование на магнитной полосе;
     * чип;
     * лазерная запись (оптические карты)
     Самой ранней и простой формой записи информации на карту была и остается графическая. Она до сих пор используется во всех картах, включая самые технологически изощренные. Сначало  на карту наносились только ФИО владельца карты и информация об ее эмитенте. Позднее на универсальных банковских картах был предусмотрен образец подписи, а ФИО стали эмбоссироваться (механически выдавливаться).
     Эмбоссирование - нанесение данных на карточке как рельефные знаки. Это позволило значительно ускорить оформление операции оплаты картой, делая на ней оттиск слипа. Информация, эмбоссированная на карте, моментально переносится на слип. Способ переноса эмбоссированной на карте информации - механическое давление. Эмбоссирование не вытеснило целиком графическое изображение.
     Штрих-кодирование - запись информации на карту с помощью штрих-кодирования применялась до изобретения магнитной полосы и в платежных системах распространения не получила. Карточки со штрих-кодами, подобными тем, которые наносятся на товары, довольно популярны в специализированных карточных программах, где не требуются расчеты. Это связано с относительно низкой стоимостью таких карточек и считывающего оборудования. При этом для лучшей защиты штрих-коды покрываются непрозрачным для невооруженного глаза слоем и считываются в инфракрасном свете.
     Магнитные карты имеют такой же тип, что и обыкновенные пластиковые карты, но на обратной стороне карты имеется магнитная полоса, и возможны фото владельца и образец его подписи. Способы записи и чтения аналогичны способам, используемым в бытовом магнитофоне. Магнитная полоса может сохранять около 100 байт информации, которая считывается специальным считывающим устройством. Информация, нанесенная на магнитной полосе, имеет идентификационный характер, а стоимостные показатели отсутствуют. На лицевой стороне карточки указываются:
     * ФИО владельца;
     * номер его банковской карты;
     * шифр его отделения банка;
     * название банка;
     * символы электронной системы платежей, в которой используются карточки данного типа;
     * голограмма - фирменный знак платежной системы. Цель нанесения голограммы - сделать внешний тип карты более привлекательным и защитить от подделки; впервые голограмму применили в системе МастерКард  в 1985 г.;
     * срок пользования карточкой (от полугода до двух лет).
     Существует много национальных и международных стандартов на магнитные карточки. Наибольшее распространение получил стандарт с трехдорожечной магнитной полосой.
     Согласно со стандартом 1807813 на первой дорожке записываются следующие данные: номер карточки, ФИО владельца, срок истечения действия карточки, сервис-код (максимальная длина записи - 89 знаков); на второй дорожке - номер карточки, срок истечения действия, сервис-код (до 40 знаков). Сервис-код - это код из двух цифр, определяющий допустимые для данной карточки типы операций, например: 03 - только операции, выполняемые банкоматом; 20 - операции, которые требуют авторизации у эмитента.
     На третьей дорожке чаще всего записывается ПИН-код. Кроме определенных в стандарте величин на магнитной полосе могут записываться некоторые другие коды, например PVV (ПИН Vеrificаtiоn Vаluе) или CVC (Cаrd Vеrificаtiоn Cоdе) - коды, позволяющие проверить ПИН (секретный номер, присваиваемый карточке и выдаваемый держателю вместе с карточкой) автономно устройством, выполняющим операцию.
     Магнитная запись является одним из самых распространенных способов нанесения информации на пластиковые карты. С магнитными картами на сегодняшний день работают такие транснациональные компании, как Виза, МастерКард , Еurоpаy, Аmеricаn Еxprеss, Dinеrs Club.
     Недостатки магнитныхкарт: 
     * низкая защита от мошенничества (эти карточки легко украсть, подделать либо путем производства фальшивок, либо скопировав информацию с них).
     * плохие эксплуатационные характеристики (информацию на магнитном носителе слегкостью можно разрушить);
     * отсутствует возможность падежного обновления информации, что не позволяет сохранять на карточке информацию о состоянии счета клиента;
     * необходимость обслуживания карточки в режиме оn-linе, что повышает издержки эксплуатации подобной системы. Это означает, что для каждой транзакции требуется обращаться через модемную связь в центр авторизации для подтверждения подлинности по выделенной телефонной линии, что затратно и недостаточно надежно, особенно в условиях страны;
     Распространение карт с магнитной полосой на рынке сдерживает ряд причин:
     * низкий уровень и нерегулярность доходов населения в сочетании с быстрыми темпами инфляции делает невозможным для массового клиента поддерживать приличные неснижаемые остатки либо страховые депозиты на счетах;
     * традиционное низкое качество телекоммуникационных сетей, не позволяющее строить классические для Запада схемы оn-linе-обращения к счетам клиентов.
     Понятно, что магнитная полоса уже не дает нужного уровня защиты информации от мошенничества и подделок. И эксперты начали искать более надежный способ записи информации. Им оказался чип (от англ, chip - кристалл с интегральной схемой), или микросхема. Карточки с чипом очень часто называются также смарт-картами. Название "смарт-карта" (смарт - интеллектуальная, или разумная) связано с возможностью последней выполнять весьма сложные операции по обработке информации. Основными преимуществами этого типа карт являются повышенная надежность, безопасность и многофункциональность. Существенным недостатком является ее высокая себестоимость. Стоимость таких карт определяется стоимостью микросхемы, которая прямо зависит от размера имеющейся памяти и колеблется для тиража в миллион карточек от 0,6 до $9,5.
     Смарт-карты имеют разную емкость. Объем памяти обычной карты составляет примерно 256 байт, но есть карты с объемом памяти от 32 байт до 8 Кбайт. Микросхемы позволяют сохранять в памяти такой карты кроме идентификационной информации и стоимостные показатели.
     * Рассмотрим типологию смарт-карт. В зависимости от внутреннего устройства и выполняемых функций эксперты подразделяют смарт-карты па два типа: микропроцессорные карты, карты с памятью. 
     Карты с памятью. Это название весьма условно, так как все смарт-карты имеют память. Обычно карты подобного рода используют для хранения информации. Есть два подтипа подобных карт: с незащищенной и с защищенной памятью.
     В картах с незащищенной памятью нет ограничений но чтению или записи данных. Иногда их называют картами с полно/доступной памятью. Можно произвольно структурировать карту на логическом уровне, рассматривая ее память как набор байтов, который можно скопировать в оперативную память или обновить специальными командами.
     Карты с незащищенной памятью использовать в качестве платежных крайне опасно. Достаточно приобрести такую карту легально, скопировать ее память на диск, а дальше после каждой покупки восстанавливать память копированием начального состояния данных с диска, т. е. шифрование данных в памяти карты от мошенничества подобного рода не спасает. 
     В картах с защищенной памятью используется особый механизм для разрешения чтения/записи или стирания информации. Чтобы провести эти операции, надо предъявить карте особый секретный код (а иногда и не один). Предъявление кода означает установление связи с ней и передачу кода "внутрь" карты. Сравнение кода с ключом защиты чтения/записи (стирания) данных проведет сама карта и "сообщит" об этом устройству чтения/записи смарт-карт. Чтение записанных в память карты ключей защиты или копирование памяти карты невозможно. В то же время, зная секретный код (коды), можно прочитать или записать данные, организованные наиболее приемлемым для платежной системы логическим образом. Таким образом, карты с защищенной памятью годятся для универсальных платежных применений, хорошо защищены и при этом недороги. Так, цена карты СРМ896 составляет не более $4 для тиражей свыше 5 тыс. экз.
     Как правило, карты с защищенной памятью содержат область, в которую записываются идентификационные данные. Эти данные не могут быть изменены впоследствии, что очень важно для обеспечения невозможности подлога карты. С этой целью идентификационные данные на карте "прожигаются".
     Требуется также, чтобы на платежной карте были по меньшей мере две защищенные области. Уже отмечалось, что в технологии безналичных расчетов по картам участвуют обычно три юридически независимых лица: клиент, банк и супермаркет. Банк вносит деньги на карту (кредитует ее), супермаркет снимает деньги с карты (дебетует ее), и все эти операции должны совершаться с санкции клиента. Таким образом, доступ к данным на карте и операции над ними надо разграничивать. Это достигается разбиением.......................