Пластикові картки доступу

Що не увійшли до класифікації ISO карти службового застосування часто мають спеціальну назву - службова карта компанії. Розрахункова функція, якщо вона є, звичайно "підлегла" ідентифікаційній.

Подібні карти широко поширені не тільки за кордоном, але і в Україні. В основному це картки, які вказують на приналежність її утримувача до даної організації.

Які реквізити має типова службова карта? Залежно від того, хто або що проводить контроль доступу - людина або спеціальний пристрій - картка має "зовнішні характеристики" її утримувача або "внутрішні", а частіше і ті, і інші.

До "зовнішніх" віднесемо фотографію утримувача, його обліковий номер, ім'я і прізвище, опис його прав доступу, які може прочитати контролер. Якщо цього достатньо, то звичайно обмежуються друком вказаних даних на картку. Таким чином, картка не відрізняється від звичайного пропуску. Зрозуміло, всі картки даної організації повинні мати загальні зовнішні ознаки, що ідентифікують цю організацію. Для того, щоб контролер мав нагоду визначити автентичність "пластикового пропуску", картка повинна бути захищений від підробки.

"Внутрішні характеристики" по суті ті ж, що і "зовнішні", але спеціальним чином закодовані на магнітній смузі картки або в пам'яті вбудованої в картку мікросхеми. Найпростішим рішенням автоматизованого візуального контролю зовнішності утримувача (т.з. face-контролю) є запис фотографії в базу даних підприємства і виклик її на екран комп'ютера при введенні в нього (автоматично, за допомогою карт-рідера, або вручну, з клавіатури) облікового номера утримувача картки. Частіше за все для цієї мети застосовують картки з штриховим кодом або картки з магнітною смугою.

Головним елементом в контролі доступу за допомогою карток, що містять "внутрішні характеристики", є зовсім не картки, а сама система автоматизованого контролю. Ми детально не зупинятимемося на проблемах побудови і використання таких систем. Відзначимо тільки, що стандартних схем не існує. Кожна система виконується під конкретного замовника, тому інформаційне "наповнення" ідентифікаційних карток надзвичайно різноманітно.

Проте службова картка все-таки покликана виконувати не тільки чисто ідентифікаційні функції. Ця картка універсального (але локального) застосування усередині підприємства. Саме тому її технічне втілення - карта з вбудованою мікросхемою. Якщо йдеться лише про ідентифікацію утримувача карти, і вимоги до обмеження доступу не такі жорсткі, як, наприклад, у військових системах, то звичайно використовується карта з магнітною смугою. Витрати в цьому випадку набагато менші, ніж при застосуванні смарт-карт або замовити пластикові картки Тернопіль.

Смарт-карти, які використовуються для контролю доступу, увійшли до практики одними з перших. Це область застосування, що часто використовується, т.з. безконтактних смарт-карт, що володіють розширеним набором функцій . Звичайно смарт-карти для контролю доступу додатково грають роль лічильника. Наведемо як приклад автоматизовану дорожню систему для платної автотраси, яка реалізована в Італії. В ній водій може встановити смарт-карту в передаючій пристрій на приладовій дошці автомобіля. При перетині пропускного пункту платня за проїзд знімається без зупинки машини.

Зараз в Україні багато організацій (банки, крупні компанії) використовують безконтактні картки для контролю доступу в приміщення. Можна сказати, що це стало звичайною послугою багатьох фірм, що спеціалізуються в області систем контролю доступу. Цікаво, що безконтактних карток доступу часто не мають в пам'яті персональної інформації. Співробітникам або відвідувачам підприємства просто видаються неіменні картки з певними правами доступу, по яких, наприклад, проводиться автоматичне відкриття дверей.

Є, проте, приклад використання безконтактних карток в клубній практиці, де картки контролю доступу володіють розширеними функціями - не тільки визначають доступ до служб клубу, але і ведуть облік по різних категоріях клієнтів, що, врешті-решт, пов'язано з фінансовими розрахунками між клубом і його членами.

Отже, карти автоматизованого контролю доступу відносяться до однієї з двох категорій: фізичного або логічного доступу. З технологічної точки зору вони нічим не відрізняються. В першому випадку виконуючим пристроєм є замок, в другому - програма, що управляє допуском до комп'ютерних файлів. Треба сказати, що в "серйозних системах" санкціонованого доступу для управління використовується комп'ютер, а карта є лише одним з елементів безпеки системи. Тому відмінності не такі істотні - в інформаційному значенні, картка у будь-якому випадку взаємодіє з деякою комп'ютерною програмою.

Для доступу (фізичного або логічного) утримувач карти повинен набрати на клавіатурі пристрою читання карт свій секретний код. Це не той ПІН, який рекомендується ISO для фінансових транзакцій (4-8 цифр), і який ми набираємо на клавіатурі банкомату. Чим вище ступінь допуску, тим довше код. Його довжина може доходити до 32-х символів і пов'язана з вірогідністю підбору коду зловмисником. Часто утримувача карти забезпечують особливим "тривожним (alarm) кодом", що виконує ті ж функції, що і ПІН. Тривожний код вводиться утримувачем при загрозі його життя, наприклад, під дулом пістолета. Система відпрацьовує цей код, як стандартний ПІН, наприклад, відкриваючи двері, і при цьому посилає в центр управління сигнал про напад.

Які функції крім рахункових виконує карта доступу? І як повинна бути структурований її пам'ять, щоб забезпечити належний рівень безпеки? Емітенту це важливо знати не тільки тому що забезпечення безпеки є однією з найважливіших турбот комерційного підприємства. В багатьох платіжних або розрахункових системах на смарт-картах ("Золота Корона", SmartPay, SmartSity, PetrolPlus) є спеціальні технологічні або службові карти, які видаються обслуговуючому персоналу.

Повноваження працівника разом з ідентифікуючою його інформацією звичайно записуються на картку. Через це, до службових карток пред'являються особливі вимоги - це повинні бути картки з розмежуванням доступу в пам'ять картки. Достатньо двох захищених по запису зон пам'яті. В першу записуються повноваження утримувача карт. Її "замикає" від запису секретний ключ, відомий тільки адміністратору безпеки системи або начальника утримувача карти. Останній і записує на карту повноваження працівника. Друга зона "належить" утримувачу карти, вона "закривається" від запису секретним ключем працівника (його ПІНом). Дані в ній змінюються тільки при правильному введенні ПІНа, наприклад, кожного разу фіксується дата і час входу працівника в систему. Звичайно обидві зони вільно читаються системою безпеки так, щоб при пред'явленні карти системі відразу було б відомо, хто і з якими повноваженнями увійшов до системи. Тут приведені мінімальні вимоги до карток доступу, по суті - одне з можливих технічних рішень. На практиці системи розмежування повноважень значно складніше. Хоча описана технологія і не відноситься до банківських платіжних карток, при виборі конкретної платіжної системи співробітникам банку слід звернути особливу увагу на використання службових карток для забезпечення безпеки системи.

Строго кажучи, всі картки бережуть які-небудь дані. Питання тільки в об'ємі інформації. Очевидно, картки для зберігання даних повинні володіти значним об'ємом пам'яті для того, щоб виправдати своє існування. В осоружному випадку їх можна замінити дискетами або іншими компактними електронними пристроями з пам'яттю. Тому картки для зберігання даних є або смарт-картками, або картками оптичної пам'яті.

В платіжних системах переважно використовувати смарт-картки. Картки оптичної пам'яті використовуються в основному в охороні здоров'я для зберігання великих об'ємів даних, наприклад, історій хвороби. Що ж до карток для зберігання даних про транзакції, то із зрозумілих причин відомості про їх структуру і технологічне застосування містяться в таємниці. Проте при покупці платіжної (розрахункової) системи така інформація, безумовно, надається емітенту платіжних карток.