Bankovní institut vysoká škola Praha Katedra bankovnictví a pojišťovnictví
Současné bezkontaktní technologie a moţnosti jejich uplatnění Diplomová práce
Autor:
Bc. Petr Mixa Finance
Vedoucí práce:
Praha
Ing. Denis Biedermann, Ph.D.
Duben, 2012
Prohlášení Prohlašuji, ţe jsem diplomovou práci zpracoval samostatně a v seznamu uvedl veškerou pouţitou literaturu.
Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.
V Ústí nad Labem, dne 7. 4. 2012
Bc. Petr Mixa
Poděkování Rád bych poděkoval Ing. Denisovi Biedermannovi, Ph.D. za připomínky a odborné rady, kterými přispěl k vypracování této diplomové práce.
Anotace Diplomová práce „Současné bezkontaktní technologie a moţnosti jejich uplatnění“ má za cíl ověřit hypotézu, zda jsou bezkontaktní technologie procesem vědecko-technického vývoje nebo jsou důsledkem současné komerce. Práce je rozdělena do devíti částí. V teoretické části práce se zabývám bezkontaktními technologiemi a vědecko-technickým vývojem, mobilní komercí, platebními kartami, problematikou kryptografických algoritmů pouţívaných pro ochranu bezkontaktní technologie. Popisuji ochranu bezkontaktních karet. Dále se zabývám novými technologiemi a predikcí jejich vyuţití v budoucnu. V praktické části docházím k závěru, ţe bezkontaktní technologie, v tomto případě multifunkční karty, jsou procesem nejen vědecko-technickým, ale zároveň důsledkem komerce. Následně analyzuji současné právní úpravy platebního styku z hlediska bezkontaktních technologií. Annotation Diploma work “Contemporary Contactless Technologies and Possibilities of Their Use” aims to verify the hypothesis if contactless technologies are a part of the process of the scientific and technological development or if they are a consequence of the present commerce. The diploma work is divided into nine sections. The theoretical part of the work deals with contactless technologies, and their scientific and technological development, mobile commerce, payment cards and also with cryptographic algorithms which are used to protect contactless technologies. In other sections, protection of contactless cards is described as well as new technologies and prediction of their use in the future. In the practical part my conclusion is presented. Its main idea is that contactless technologies, in this case multifunctional cards, are not only a product of scientific and technological development but also a result of commerce. Present-day legal regulations of payment system from the contactless technology point of view are analyzed in another section of the work.
Obsah ÚVOD ..................................................................................................................................................................... 6 1.
BEZKONTAKTNÍ TECHNOLOGIE A VĚDECKO-TECHNICKÝ ROZVOJ .................................... 8 1.1 POUŽÍVÁNÍ BEZKONTAKTNÍCH TECHNOLOGIÍ ........................................................................................................ 8 1.2 RFID - BEZKONTAKTNÍ TECHNOLOGIE ................................................................................................................. 9 1.2.1 Systém RFID ................................................................................................................................... 10 1.3 NFC (NEAR FIELD COMMUNICATION) TECHNOLOGIE. ......................................................................................... 14 1.3.1 Bezpečnost NFC ............................................................................................................................. 16
2.
BEZKONTAKTNÍ TECHNOLOGIE A KOMERCE ............................................................................. 17 2.1 MOBILNÍ KOMERCE....................................................................................................................................... 20 2.1.1 Druhy mobilní komerce .................................................................................................................. 20 2.2 MOBILNÍ KOMERCE A ELEKTRONICKÉ PLATBY ...................................................................................................... 21 2.3 ELEKTRONICKÉ PLATEBNÍ SYSTÉMY ................................................................................................................... 22 2.4 PŘÍSTUP K NOVÝM TECHNOLOGIÍM .................................................................................................................. 26
3.
BANKOVNICTVÍ A PLATEBNÍ KARTY V SOUČASNOSTI ............................................................. 27 3.1 DRUHY PLATEBNÍCH KARET DLE PROVEDENÍ A TYPU TECHNOLOGIE .......................................................................... 27 3.1.1 Ochrana bezkontaktních karet ...................................................................................................... 29
4.
BANKOVNICTVÍ A BEZKONTAKTNÍ TECHNOLOGIE .................................................................. 30
5.
PROBLEMATIKA KRYPTOGRAFICKÝCH ALGORITMŮ ............................................................. 39 5.1 5.2
6.
POSTRANNÍ KANÁLY, ODBĚROVÁ ANALÝZA ......................................................................................................... 46 ÚTOKY NA KEELOQ ....................................................................................................................................... 46
OCHRANA BEZKONTAKTNÍCH TECHNOLOGIÍ ............................................................................ 48 6.1 OCHRANA KLIENTA PŘED ZNEUŽITÍM BEZKONTAKTNÍ KARTY V ČR ........................................................................... 48 6.1.1 Nebezpečí zneužití karet s bezkontaktními čipy............................................................................. 49 6.1.2 Bezpečnostní mechanizmy bezkontaktní čipové karty................................................................... 49
7.
NOVÉ TECHNOLOGIE A PREDIKCE JEJICH VYUŢITÍ V BUDOUCNU ..................................... 50
8.
OVĚŘENÍ A ZHODNOCENÍ HYPOTÉZY DANÉ CÍLEM PRÁCE ................................................... 53 8.1 8.2 8.3 8.4
9.
PARDUBICKÁ KARTA ...................................................................................................................................... 53 PLZEŇSKÁ KARTA .......................................................................................................................................... 55 BRATISLAVSKÁ MĚSTSKÁ KARTA ....................................................................................................................... 56 ZHODNOCENÍ HYPOTÉZY ................................................................................................................................ 57
ANALÝZA SOUČASNÉ PRÁVNÍ ÚPRAVY PLATEBNÍHO STYKU Z HLEDISKA BEZKONTAKTNÍCH TECHNOLOGIÍ................................................................................................. 58 9.1 9.2 9.3
PRÁVNÍ ÚPRAVY V ČR (TRESTNÉ ČINY HOSPODÁŘSKÉ) .......................................................................................... 58 PRÁVNÍ ÚPRAVY VE SVĚTĚ .............................................................................................................................. 59 POPIS LEGISLATIVY PRO OBLAST PODVODŮ V OBLASTI PLATEBNÍHO STYKU V ČR......................................................... 60
ZÁVĚR ................................................................................................................................................................. 62 PŘÍLOHY ............................................................................................................................................................ 68
5
Úvod Všestranný rozvoj vědy a techniky se promítá do mnoha oblastí našeho ţivota. Vědecko-technický vývoj nás provází na kaţdém kroku, působí značnou měrou na komerci a naopak komerce má vliv na technický vývoj. Bezkontaktní technologie jsou bezdrátové technologie zaloţené na RFID nebo NFC technologii. RFID technologie slouţí k přenosu a ukládání dat pomocí elektromagnetických vln (tj. děj, při němţ se šíří prostorem příčné vlnění elektrického a magnetického pole). S touto technikou se můţeme setkat v průmyslu (při kontrole výrobních procesů), logistice, expedici, při výrobě elektronických identifikačních dokumentů (elektronické pasy, identifikační karty, řidičská oprávnění) a podobně. Dnes jsou technologie RFID vyuţívány u všech dálkových ovladačů (televize, multimediálních přehrávačů, klimatizace apod.), bezdrátových klávesnic a myší. Dále z této technologie vychází WI-FI (nejnovější standard 802.11n vznikl v roce 2008, kde pouţitím více vysílačů a přijímačů se zlepšuje kvalita signálu). Pomocí WI-FI routeru lze vytvořil vlastní síť. RFID se pouţívá také jako zabezpečovací zařízení automobilů a budov. Bezkontaktní technologie otevírají další prostor v pouţívání platebních karet. Pojem „Proximity Payment“ v sobě skrývá placení pomocí přiblíţení bezkontaktní platební karty, předplacené platební karty nebo jiného identifikačního zařízení. Základem nových bezkontaktních karet je dual-interface čip, který umoţňuje provádět jak bezkontaktní, tak i kontaktní platby. Bezkontaktní platby podléhají EMV (EUROPAY, MASTERCARD, VISA) standardům. Tyto platby představují nový přístup k hotovosti, který je pohodlnější a rychlejší neţ tradiční hotovostní platby. Zavedení bezkontaktních technologií v oblasti bankovnictví je nákladná záleţitost, ale do budoucna by se měla tato investice rychle vrátit. Náklady na údrţbu jsou minimální, protoţe nedochází k mechanickému opotřebení. Předpokladem je, aby tento způsob platby obchodníci podporovali. NFC technologie vychází z RFID, která umoţňuje číst a zapisovat data. NFC je systém určený pro bankovní platby, ale také pro přenášení dat, jako jsou telefonní kontakty a aplikace. Pro bezpečnost NFC je potřeba kooperace mezi poskytovatelem zařízení, který bude chránit telefony s NFC technologií silným kryptografickým rozhraním, autentizačními protokoly i
6
uţivatelem, který si bude muset chránit svá data a hesla. Dále jsou nutné aplikace jako je blokovač klávesnice, antivirus a aplikace, která bude pracovat s antivirovým softwarem a ostatními bezpečnostními prvky k prevenci malware (programy, které vniknou do počítače bez vědomí uţivatele např. viry, spyware – trojské koně apod.). Výhody bezkontaktních technologií jsou mobilita, konektivita, flexibilita, pohodlí a související sluţby pro zákazníky. Tyto technologie jsou klíčovými prvky pro úspěšné podnikání, tedy pro obchodní společnosti, spedice, kurýrní a poštovní sluţby, logistiku, mobilní sázky a loterie, policii, pohostinství a rozváţkové sluţby. Nevýhodou NFC je, ţe nenabízí ţádnou ochranu proti odposlouchávání (eavesdroppingu) a je plně zranitelná modifikací dat. Další nevýhodou jsou vyšší provozní náklady. Nevýhodou RFID a WI-FI technologií jsou radiační rizika, která mají negativní vliv na člověka a přírodu. V blízké budoucnosti se s bezkontaktními technologiemi setkáme téměř všude, v kaţdé oblasti našeho ţivota. Pouze na nás bude záviset, jak tento vědecko-technický vývoj v oblasti bezkontaktních technologií vyuţijeme a zda bude pro nás přínosem. Cílem diplomové práce je ověřit hypotézu, zda jsou bezkontaktní technologie procesem vědecko-technického vývoje nebo jsou důsledkem současné komerce. Tuto hypotézu ověřuji na konkrétním příkladu multifunkčních karet. Postup práce a pouţité metody: Práce je rozčleněna do 9 kapitol. Při vypracování jsem vycházel z českých a anglických vědeckých článků a informací z internetových stránek. V teoretické části se zaměřuji na pouţití bezkontaktních technologií. Popisuji nejpouţívanější technologie, problematiku kryptografických algoritmů a technologickou ochranu. Zabývám se pouţíváním platebních karet v současnosti včetně bezkontaktních platebních karet. Popisuji vybrané nové technologie, predikuji jejich vyuţití v budoucnu a analyzuji současné právní úpravy platebního styku z hlediska bezkontaktních technologií. Práce má charakter výzkumu „od stolu“ (desk research).
7
1. Bezkontaktní technologie a vědecko-technický rozvoj
1.1 Pouţívání bezkontaktních technologií Vědecko-technický rozvoj měl a má na vznik, vývoj a uplatnění bezkontaktních (bezdrátových) technologií zásadní vliv. Pouţívání bezdrátových technologií pro přenos informací se stalo během posledních 20 let běţnou součástí našeho ţivota. Téměř kaţdý z nás v dnešní době vlastní jedno či více zařízení, s nimiţ lze na menší či větší vzdálenost snadno a pohodlně komunikovat. V té nejjednodušší formě (jednosměrný přenos) se jedná o zasílání příkazů zařízení - představme si dálkové ovládání rádia, televizoru, počítače či některých dveřních a garáţových systémů. Sloţitější forma komunikace (obousměrný přenos) pak zahrnuje vzájemnou komunikaci dvou a více zařízení najednou a pokrývá obousměrné přenosy dat nezbytných např. k realizaci sloţitějších komunikačních protokolů, jaké pouţívají modernější systémy zabezpečení motorových vozidel či stavebních objektů. K bezdrátovému přenosu signálu se vyuţívá některých částí elektromagnetického spektra neviditelných lidským okem. Jednotlivé části spektra mají různé vlastnosti, které mají vliv na celkovou kvalitu komunikačního média a udávají, mimo jiné, i snadnost šíření signálu a jeho náchylnost k různým druhům rušení. Sílu vysílaného signálu lze regulovat. Dokonce i slabý signál přijímaný z velké dálky můţe být zachycen s vyuţitím velmi citlivého přijímače, proto by měly být veškeré bezdrátové komunikační spoje, které jsou určeny k přenosu citlivých informací zabezpečeny1.
1
Zdroj: J. Krhovják, V. Lorenc. Bezpečnost bezdrátových technologií. Zpravodaj ÚVT MU. ISSN 12120901, 2009, roč. XX, č. 1, s. 1-9.
8
1.2 RFID - bezkontaktní technologie RFID neboli Radio Frekvenční Identifikace je bezkontaktní technologie slouţící k přenosu a ukládání dat pomocí elektromagnetických vln. Systémy RFID jsou schopny zaznamenávat, uchovávat a poskytovat objektivní informace v reálném čase. Tuto technologii lze najít v různých odvětvích průmyslu, jako jsou kontrola výrobních procesů, logistika, dodávky a expedice, v obchodních řetězcích, ale i u identifikací zvířat. Samotná technologie vychází z principu radaru a její historie zasahuje do 20. let minulého století, kdy se k navigaci letadel začaly pouţívat rádiové vysílače, tzv. radiomajáky. V roce 1935 skotský elektrotechnik sir R. Watson-Watt zkonstruoval první prakticky pouţitelný přístroj pro rádiovou detekci letadel pomocí mikrovln. Stal se tak skutečným vynálezcem radaru. Z roku 1939 pochází technologie podobná RFID tzv. IFF (Identification, Friend and Foe), pouţívaná za války k odlišení vlastních a nepřátelských letadel2. Vývoj radaru a rádiových komunikačních systémů pokračoval v letech 1950 aţ 1960, kdy probíhalo testování, a vyvíjely se aplikace, které by mohly být vyuţity v praxi. První aplikace, které byly uvedeny do praxe, byly zaloţeny na jednobitových čipech, které signalizují zapnuto nebo vypnuto (1 nebo 0). V současnosti toto řešení slouţí například jako systém proti krádeţím v obchodech. První RFID čip předvedla americká Los Alamos Scientific Laboratory roku 1973. V sedmdesátých letech se na vývoji podílela řada firem, mimo jiné IBM, ComServ a FairChild. V letech 1980 aţ 1990 začaly vznikat komerční aplikace (např. bezkontaktní karty slouţící k identifikaci vstupů do budov atd.). V devadesátých letech, s vytvořením prvních standardů, nastaly podmínky pro mezinárodní vyuţívání RFID.3 Hlavní výhody RFID: k identifikaci objektu nevyţaduje přímou viditelnost, ani přesné polohování, přenosu dat z čipu nebrání špatné optické nebo atmosférické podmínky.
2
Zdroj: RFIDJOURNAL [on-line], The History of RFID Technology – vlastní překlad, [cit. 2011-11-07]. Dostupný z WWW:
. 3 Zdroj: G. ROUSSOS: Networked RFID Systems, Software and Services; 2008; Springer-Verlag London Limited; ISBN 978-1-84800-152-7.
9
1.2.1 Systém RFID Základní komponenty RFID systému jsou: transpondér (přenašeč) tzv. RFID tag (čip připojený k anténě), který je tvořen čipem (elektronický paměťový obvod) dále cívkou nebo anténou a v případě aktivních nebo semipasivních tagů (tj. tag, který je citlivější díky integrované baterii) je vybaven i vlastním zdrojem energie. Všechny tyto součásti jsou umístěny na podloţce z plastu nebo papíru, čtecí zařízení tzv. RFID reader (čtečka), která je tvořena vysílacím/přijímacím obvodem s dekodérem a anténou. V některých případech můţe být čtečka vybavena i vlastním operačním systémem, řídící software (middleware), dále podpůrné systémy (řídící počítače, databáze, telekomunikační sítě) a systémy na strategické úrovni řízení4. Jak funguje RFID systém? Čtecí zařízení vysílá prostřednictvím antény elektromagnetickou vlnu (rádiovou vlnu) do okolí. Objeví-li se ve vhodné vzdálenosti od antény tag, který je naladěn na stejnou frekvenci, je tato vlna přijata anténou tagu. Indukované napětí na anténě tagu vyvolá střídavý elektrický proud, který je usměrněn a nabíjí kondenzátor v tagu. Uloţená energie je pouţita pro napájení logických a rádiových obvodů tagu. Jakmile napětí na kondenzátoru dosáhne minimální potřebné úrovně, spustí se řídící obvody uvnitř tagu a začne se vysílat odpověď čtecímu zařízení (příloha č. 1, obrázek č. 1). Vysílání tagu je realizováno pomocí ASK (Amplitude Shifting Key) modulace,5 která ovlivňuje výšku, frekvenci a fázi amplitudy. Hlavní hardwarovou podmínkou fungování RFID systému je dostatečné nabití kondenzátoru v transpondéru a schopnost detekovat přijatou odpověď6. Systémy RFID vyuţívají rádiových vln, které pracují na různých vlnových délkách (radiové frekvenci). Čím vyšší je frekvence, tím je rychlejší přenos dat a je i delší vzdálenost, na kterou je RFID čtečka schopna komunikovat s RFID tagem. Volba vhodné frekvence pro konkrétní 4
Zdroj: Kern Ch. "Radio-frequency-identification for security and media circulation in libraries", Electronic Library, The, Vol. 22 Iss: 4, strana 317 – 324, [cit. 2011-11-07]. Dostupný z WWW: 5 Zdroj: G. ROUSSOS: Networked RFID Systems, Software and Services; 2008; Springer-Verlag London Limited; ISBN 978-1-84800-152-7. 6 Zdroj: G. ROUSSOS: Networked RFID Systems, Software and Services; 2008; Springer-Verlag London Limited; ISBN 978-1-84800-152-7.
10
aplikaci je jedna z nejdůleţitějších fází návrhu řešení systému RFID. Z této volby vyplývá celá řada dalších nejen fyzikálních omezení, jako například dosah čtení, zákonná omezení vyzářené energie, rychlost snímání a zapisování, pouţitelnost v různém prostředí. Existují čtyři hlavní frekvenční pásma pro systémy RFID7. LF (Low Frequency) pásmo 125-134 kHz – Frekvenční pásmo LF má velmi krátkou (téměř kontaktní) čtecí vzdálenost (do 20 cm) a nízkou přenosovou rychlost. Tato technologie se vyuţívá převáţně v identifikačních průkazech (evidence docházky), k identifikaci komponentů v zařízení během výroby, na evidenci domácích zvířat atd.. Zde se vyuţívá pasivních tagů, které se skládají z kotouče měděného drátu a nepřepisovatelné paměti. HF (High Frequency) pásmo 13,56 MHz - Toto pásmo má vyšší čtecí vzdálenost neţ LF (do 1 metru). V aktivním provedení umoţňuje i metrové čtecí vzdálenosti. Tento systém vyuţívá opět především pasivních tagů. Má niţší přenosovou rychlost. Anténa tagu je vyrobena z měděného drátu nebo můţe být vytištěna vodivým inkoustem na papírovou podloţku a doplněná čipem. V této kategorii jsou čipy většinou k dispozici ve variantách RO (Read Only – pouze čtení) nebo RW (Read Write – moţnost zápisu) s kapacitou paměti od několika bytů aţ po kilobyty. Tato technologie se nejčastěji vyuţívá pro knihovní systémy, docházkové systémy, pro identifikační karty (e-peněţenky, přístupové systémy). UHF (Ultra High Frequency) pásmo 860-960 MHz) - UHF pásmo umoţňuje přenos informace na větší vzdálenosti. Systémy UHF v různých zemích světa mají přiděleny příslušná frekvenční pásma. U této technologie se vyuţívá standard ISO 18000 určený pro knihovní systémy, docházkové systémy, identifikace palet. Došlo k masivnímu rozšíření tohoto pásma díky zavedení jednotného číselného standardu EPC (Electronic Product Code) elektronického kódu produktu, který přiděluje organizace Global Standards. MW (Microwave) pásmo 2,458 GHz - MW pracuje v blízkosti frekvenčního pásma Wi-Fi sítí. Charakteristickým znakem této technologie je velká čtecí vzdálenost a vysoká přenosová rychlost. Tato frekvence je spjata s aktivními tagy, protoţe vlastní zdroj energie tagu dokáţe 7
Zdroj: G. ROUSSOS: Networked RFID Systems, Software and Services; 2008; Springer-Verlag London Limited; ISBN 978-1-84800-152-7.
11
zvýšit čtecí vzdálenost aţ na desítky metrů. Vyuţívají se např. pro identifikace vozidel a pohybujících se předmětů. Výhodami systémů pracujících na vyšších frekvencích je jejich menší rozměr a malý integrovaný obvod, doplněný malou anténou, a s tím je spojena i niţší cena. Jsou také rychlejší pro přenos dat, zvládnou větší datové toky8. Nosičem informací v RFID systému je tag - transpondér. Základní funkcí RFID tagu je uloţení dat do vnitřní paměti. Kaţdý tag se skládá z mikročipu a antény. Samotný čip můţe být velký do 1 mm. Velikost tagu přímo souvisí s velikostí antény, která je jeho největší součástí. Obvykle platí, ţe čím větší je pouţitá frekvence, tím menší můţe být anténa. Anténa a čip mohou být zapouzdřeny do PVC karty velikosti platební karty, skleněné trubičky, které se mohou pouţít k podkoţní aplikaci (značení domácích zvířat), nebo k nalepení na etiketu. Také mohou být speciálně zapouzdřeny podle přání zákazníka a způsobu pouţití. RFID tagy jsou odolné pro teploty od -40°C do +300°C. Provedení tagu je úzce spjato s aplikací, které bude slouţit. Některé tagy musí být vyrobeny tak, aby odolaly extrémním teplotám, vlhkosti, a leptavým chemickým látkám. Z hlediska výrobní technologie existují desítky typů tagů. Nejrozmanitější aplikační vyuţití mají RFID tagy v provedení mince. Mají kruhový tvar a jsou veliké od několika mm aţ po 10 cm. Výhodou těchto tagů je jejich jednoduchá implementace do jiných součástek, například jako imobilizér nebo klíčenka, která se pouţívá v oblasti, kde jsou potřebné vysoké poţadavky na bezpečnost – střeţené prostory, kanceláře a podobně. V jejich středu bývá otvor na uchycení. Obal je tvořený plastem. Další formou tagu je Smart label tzv. „chytrá etiketa“. Jedná se o papírovou nebo plastovou tištěnou etiketu s integrovaným pasivním tagem. Celý komplet se nalepí jako obyčejná etiketa s libovolným potiskem. Kombinace RFID tagů a klasické tištěné etikety obsahující čárkový
8
Zdroj: Kern Ch. "Radio-frequency-identification for security and media circulation in libraries", Electronic Library, The, Vol. 22 Iss: 4, strana 317 – 324, [cit. 2011-11-27]. Dostupný z WWW: .
12
kód se vyuţívá k označení palet nebo kartónů. Výhodou je nízká cena. Nevýhodou je niţší odolnost9. Smart card má formát platební karty. Je moţné umístit do nich poměrně velkou anténu, která má příznivý vliv na dosah systému. Způsob výroby je vrstvení, mezi vrstvy plastu se zataví anténa. Jinou formu představují PCB tagy, to je RFID čip s PCB (Printed Circuit Board) anténou. Tento tag je vhodný pro návrh zákaznických tagů, kde jsou kladeny specifické nároky na jejich aplikaci. Další výhodou je, ţe PCB tag je doplněn dodatečným kondenzátorem, který zajistí ještě lepší čtecí vzdálenost. Tyto tagy lze zabudovat do samotného objektu (obalu nebo přepravky) a mohou být vsazeny do obalů z laminátu, plastu, gumy nebo do speciálních obalů z materiálů, které vyhovují podmínkám provozu, ve kterých budou vyuţity. Jejich výhodou je vysoká odolnost. Skleněné tagy jsou vyvinuté pro zavedení pod pokoţku a jsou vhodné pro aplikace v lékařství, pro kontrolu zvířat apod. Jedná se o skleněnou trubičku velkosti 10 aţ 30 mm. Čip je zachycený na plastovém nosiči. Tagy dělíme podle zdroje energie na aktivní, pasivní a semipasivní: Aktivní RFID tagy mají vlastní zdroj energie. Čtecí vzdálenost do 100 metrů. Jejich nevýhoda je sloţitost a tím i vyšší náklady na jejich výrobu a kratší ţivotní cyklus, který je dán kapacitou baterie. Pouţívají se k identifikaci předmětů, lokalizaci, měření teploty apod. Pasivní RFID tagy nemají baterii, energii přijímají z antény. Tyto tagy mají zanedbatelné poţadavky na údrţbu a velmi dlouhou ţivotnost. Cenově jsou dostupnější. Čtecí vzdálenost pasivních tagů je od 10 centimetrů do několika metrů. Pouţívají se k identifikaci objektů. Semipasivní tagy mají interní napájecí zdroj a současně potřebují počáteční signál od čtečky. Semipasivní tagy mají díky integrované baterii aţ 100x větší citlivost oproti pasivním tagům. 9
Zdroj: Kern Ch. "Radio-frequency-identification for security and media circulation in libraries", Electronic Library, The, Vol. 22 Iss: 4, strana 317 – 324, [cit. 2011-11-27]. Dostupný z WWW: . 13
Zvýšená citlivost klade současně vyšší poţadavky na čtečku, která musí být schopna načíst slabý signál. Výhodou je vyšší ţivotnost baterií neţ u čipů aktivních. Tyto semipasivní tagy bývají často vybaveny senzorikou pro měření např. teploty, tlaku nebo vlhkosti vzduchu. Mezi softwary RFID patří např. EAS systémy, které slouţí pro ochranu zboţí proti krádeţi. Tento systém pouţívá jednoduchých RFID tagů. Jsou určeny pro kontrolu zboţí například při placení v supermarketech nebo knihovnách. Výrobky jsou označeny tagem a detekční brány, které jsou umístěny u kaţdého východu, odhalí neoprávněné odebrání zboţí. Systém se skládá z vysílací a přijímací detekční brány. RFID etikety jsou ve formě samolepících papírových etiket. Deaktivátor samolepících etiket slouţí k deaktivaci a instaluje se v prostoru pokladny.10
Dalšími systémy pro RFID tagy jsou Portable Data Capture systémy (mobilní čtečky nebo mobilní terminály). Přenos dat můţe probíhat on-line nebo off-line. Off-line (dávkové) terminály slouţí pro sběr dat při odečítání plynoměrů, vodoměrů, elektroměrů, sledování zásilek v přepravních a kurýrních společnostech atd.. ON-LINE v radiofrekvenčním provedení (WiFi, Bluetooth), probíhá on-line komunikace přímo s řídícím serverem. Uţivatel má dispozici informace v reálném čase. Radiofrekvenční systém identifikace lze pouţít v mnoha odvětvích a oblastech, kde je kladen důraz na rychlé a přesné zpracování informací a okamţitý přenos načtených dat k následnému zpracování. V současné době se technologie RFID stále rozvíjí a dochází k jejímu uplatnění v oblastech trhu, v logistice, sledování objektů, sledování majetku a evidenci osob např. ve zdravotnictví k identifikaci pacientů a léků.
1.3 NFC (Near Field Communication) technologie. NFC technologie představuje soubor několika bezdrátových technologií krátkého dosahu do 4 cm. Pomocí kompaktních antén se dá zvýšit tento dosah aţ na 20 cm. NFC pracuje na
10
Zdroj: Kern Ch. "Radio-frequency-identification for security and media circulation in libraries", Electronic Library, The, Vol. 22 Iss: 4, strana 317 – 324, [cit. 2011-11-29]. Dostupný z WWW: .
14
frekvenci 13.56 MHz a má přenosovou rychlost od 106 kbit/s do 848 kbit/s. Vychází z Radiofrekvenční identifikace (RFID), která umoţňuje číst a zapisovat pasivní elektronické tagy pro identifikaci. NFC není jen systém určený pro bankovní platby, ale také pro mnoho dalších věci. Umoţnuje přenášení dat, jako jsou např. telefonní kontakty, aplikace (software), fotografie a videa.11 NFC pracuje ve dvou módech, pasivním (iniciátor provádí napájení cílového zařízení) a aktivním (iniciátor a cíl mají vlastní napájení). NFC Tagy obsahují data, která jsou typická pouze pro čtení, ale mohou být přepisována. Od výrobců jsou naprogramována přímo pro jednotlivé uţivatele nebo mohou obsahovat specifikace NFC fóra (tj. průmyslová asociace, která má za úkol nastavovat klíčové standardy NFC). NFC tagy jsou podobné RFID tagům, protoţe technologie vychází z RFID. Tagy mohou bezpečně ukládat uţivatelská osobní data, jako jsou informace z debetních a kreditních karet, věrnostních programů, PINy a internetové kontakty. Parametry tagů jsou definovány podle NFC fóra. Existují 4 typy tagů, které poskytují různou komunikační rychlost, nastavitelnost, paměť, zabezpečení, dobu uchování dat a moţnost znovu zapsání dat. Dnešní NFC tagy nabízejí velikost od 96 do 512 bytů. Rozvoj NFC podporují organizace Pay-Buy-Mobile initiative (definuje přístup k vyuţívání technologie NFC s propojením na mobilní zařízení a bezkontaktní systémy), StoLPaN (Store Logistics and Payment with NFC) a NFC forum (neprofitující průmyslová asociace zaloţená v březnu 2004 společností Sony, Nokia a Philips). Snaţí se prosadit celosvětovou integraci NFC do spotřebitelské elektroniky. Historie vývoje NFC: V roce 2004 společnosti Nokia, Philips a Sony vytvořily NFC Forum. V roce 2006 byl specifikován NFC TAG. Ve stejném roce byl také specifikován SmartPoster záznam. Nokie vydává první mobil, který podporuje NFC – Nokia 6131. V roce 2009 byl specifikován Peer-to-Peer standard pro přenos dat NFC. 11
Zdroj: NFC Forum [on-line], The History of RFID Technology - vlastní překlad, [cit. 2011-12-01]. Dostupné z WWW: .
15
V roce 2010 byl vydán první smartphone Samsung Nexus S se systémem Android, který má plnou podporu NFC technologii V květnu 2011 společnost Google uvedla na trh aplikaci Google wallet pro systém Android, která pouţívá technologii NFC. Informace z bezkontaktní karty budou uloţeny v aplikaci a ta se bude chovat jako platební karta. Standardy, které jsou součástí NFC technologie: ETSI/SCP (Smart Card Platform) specifikuje rozhraní mezi samotou SIM kartou a NFC čipem. GlobalPlatform specifikuje multi-aplikační architekturu a její bezpečnostní prvky. EMVCo pro dopad na EMV platby. NFC obsahuje vţdy dva články initiator (inicializovač) a target (cíl). Initiator aktivně generuje RF pole, které napájí pasivní cíl. Pro komunikaci peer-to-peer musí být obě zařízení aktivně napájena. Podobně jako u bezkontaktních platebních karet pouţívá technologie NFC magnetickou indukci mezi dvěma spojenými anténami.
1.3.1 Bezpečnost NFC NFC technologie sama o sobě negarantuje bezpečnost komunikace. NFC nenabízí ţádnou ochranu proti tzv. „eavesdroppingu“ (odposlouchávání) a je plně zranitelná modifikací dat. Aplikace mohou pouţívat vyšší vrstvu kryptografických protokolů jako je SSL k otevření zabezpečeného kanálu12. Pro ochranu je potřeba kooperace mezi poskytovatelem zařízení, který bude chránit telefony s NFC technologií silným kryptografickým rozhraním a autentizačními protokoly a uţivatelem, který si bude muset ochránit svá data a hesla.
12
Zdroj: NFC Forum [on-line], RFID, Electronic Eavesdropping and the Law – vlastní překlad, [cit. 201112-01]. Dostupné z WWW: . 16
2. Bezkontaktní technologie a komerce Bezkontaktní platby se staly ve světě koncového (retailového) obchodu módní záleţitostí. Technologie umoţňuje spotřebitelům pořizovat nákupy bez nutnosti fyzického kontaktu plastické karty, přívěsku nebo mobilního telefonu a terminálu prodejního místa (PoS, Pointof-Sale). Záznamová informace platby je šifrována a přenášena bezdrátově mezi platebním zařízením, jeţ obsahuje vestavěný chytrý čip s anténou, a příslušně disponovanou čtečkou. Pro subjekty, jeţ bezkontaktní platební terminály začaly nasazovat v praxi, přineslo nové řešení zjednodušení transakčního procesu, jenţ měl obvykle podobu velkého objemu nízkonákladových (cenových) transakcí.
Konkrétně se začaly uplatňovat u benzinových
stanic, v supermarketech, v restauracích s rychlým občerstvením a ve sportovních halách. Na těchto místech jsou drobné hotovostní transakce většinou nejběţnější. Bezkontaktní platby činí platební proces snazší. Výhody pro prodejce jsou zvýšení průměrné velikosti platby, větší počet a vyšší rychlost průchodu platících, méně manipulace s hotovostí a zvyšující se věrnost zákazníků. Výstavci karet rovněţ postupně přebírají hotovostně platící zákazníky, které lákají na nejrůznější účastnické výhody i vyšší bezpečnost manipulace s penězi. S vidinou vyšších zisků spolupracují obchodníci a vydavatelé karet s dodavateli PoS vybavení. Například pilotní projekt bezkontaktních plateb kartou v Atlantě (USA, Georgia) vyţaduje kooperaci mnoha stran včetně Atlanta Spirit (organizace zastřešující Hawks, Trashers a Philips Arénu), Cingular Wireless, JP Morgan Chase, Nokia, Philips, Visa USA a Vivotech.13 Během zkušebního provozu mohou drţitelé sezonních vstupenek na lední hokej a basketbal bezkontaktně platit na různých místech a přistupovat k mobilnímu obsahu projektu. Na kontrolních bodech Philips Arény potom fanouškové drţí své mobilní telefony blízko čteček, které obdrţí informace o platbě platební kartou a zpracují transakci stejným způsobem, jako se zpracovává jakákoli jiná karetní platební operace. K účasti na projektu potřebují patroni obou týmů (Atlanta Thrashers a Atlanta Hawks) kreditní účet Visa vystavený společností JP Morgan Chase, účet u mobilního operátora Cingular Wireless a mobilní telefon Nokia 3220 osazený polovodičovým čipem Philipsu a 13
Zdroj: NFC Forum [on-line], Sports Fans Use RFID to Pay and Play – vlastní překlad, [cit. 2011-12-01]. Dostupné z WWW: . 17
PoS softwarem od Vivotechu. Tyto relativně obsáhlé a současně striktní poţadavky omezují účast veřejnosti na testovacím provozu.14 VISA a SAMSUNG, celosvětoví sponzoři letních olympijských her v Londýně (dále téţ LOH), které se uskuteční od 26. července do 12. srpna 2012, umoţní mobilní platby během příprav i v průběhu olympiády. Velká Británie představí systém mobilních plateb. Při olympijských a paralympijských hrách bude moţné platit bezkontaktně. Společnosti Samsung a Visa prostřednictvím svého sponzorství představí nejnovější inovaci v oblasti platebních technologií (speciální mobilní telefon vybavený technologií VISA a NFC). Visa aplikace bude obdobou např. v ČR známé O2 Wallet. Zákazníci a návštěvníci budou platit pomocí mobilního telefonu značky Samsung. Před LOH a následně v průběhu her se tak zcela promění systém plateb nejen v Londýně, ale i po celém světě. Pro samotný nákup v obchodech s bezkontaktními terminály bude telefon vyţadovat pouţití SIM karty podporující platební systém VISA. Společnosti Visa a Samsung chtějí zde představit trvalý projekt pro banky, maloobchodníky, mobilní operátory i běţné spotřebitele. Samotný projekt je jedinečný nejen v rámci sportovních událostí ale zároveň spotřebitelům poskytne technologie budoucnosti pro mobilní a bezkontaktní platby. Systém mobilních plateb s technologií NFC a VISA je jiţ v současnosti zaváděn v řadě zemí, v Austrálii, ČR, Kanadě, Brazílii, Francii, Hongkongu, Italii, Malajsii, Polsku, Singapuru, SR, Španělsku, USA, Británii, Švýcarsku a Turecku. Většina současných zájemců o technologie bezkontaktních plateb povaţuje tento obor za nedostatečně vyspělý. Existují sice vysoce propagované projekty v Evropě a Asii a v současnosti se jim dostává pozornosti i ve Spojených státech, ale koncepční pojetí nebylo dosud ustáleno. Nového způsobu plateb se vyuţívá především v dopravě, v kultuře a ve sportu. Bezkontaktních plateb se pouţívá pouze s minimálními investicemi. Kombinují se dvě rozvíjející se odvětví bezkontaktní platby a systémy mobilních telefonů. Obě na sebe působí pozitivně a kritická je pro ně v této oblasti vzájemná spolupráce.
14
Zdroj: NFC Forum [on-line], Sports Fans Use RFID to Pay and Play – vlastní překlad, [cit. 2011-12-01]. Dostupné z WWW: . 18
Ve Spojených státech se k vydání bezkontaktních platebních karet přidaly finanční instituce jako Citibank, MBNA či American Express. I dodavatelé informačních řešení pracují na moţnostech bezkontaktních PoS. Patří mezi ně například firmy Hypercom, Ingenico, On Track Innovations a Vivotech. Mezi prodejci, kteří s PoS experimentují, nalezneme mimo jiné 7-Eleven, AMC Theaters, CVS, McDonald´s, Regal Cinemas, Ritz Camera, Subway a Wawa. Od samotného začátku vyvíjejí hlavní společnosti zabývající se kreditními kartami své vlastní sluţby pro zpracování bezkontaktních plateb. AmericanExpress má svůj ExpressPay, MasterCard International PayPass a Visa nabízí Contactless produkty. Všechny jsou zaloţeny na ISO/IEC 14443, mezinárodním standardu pro bezkontaktní technologii vyuţívající chytrých čipů.15 Karetní společnosti v současnosti pracují na sdílení svých technologií. V březnu 2010 ohlásily Visa a MasterCard, ţe budou sdílet společný komunikační protokol a příslušné testovací poţadavky pro bezkontaktní platby. Protokol je zaloţen na PayPass ISO/IEC 14443 specifikaci firmy MasterCard. Vyuţití společného protokolu pro provádění bezkontaktních plateb umoţní dodavatelům zefektivnit vývoj a testování produktů. S rozvojem standardu se dá očekávat, ţe obchodníci budou ve větší míře pořizovat PoS vybavení. V rozhodování jim pomůţe vědomí, ţe nově pořizovaná zařízení budou schopna akceptovat bezkontaktní platby od více provozovatelů karetních systémů. Dodavatelé IT řešení se díky tomu zaměří pouze na podporu jedné specifikace, coţ ještě zlevní výrobní proces. Současně s tím se MasterCard, Microsoft, Motorola, Nokia, Sony, Visa a další společnosti věnují přípravě bezdrátového komunikačního protokolu nazvaného Near Field Communication (NFC). NFC technologie je zaloţena na existujících ISO standardech včetně ISO/IEC 14443. Jedním z charakteristických znaků NFC je velmi krátký dosah v hodnotě přibliţně 5 centimetrů. Z bezpečnostních důvodů mohou bezkontaktní platební zařízení pracovat jen velmi blízko PoS terminálu. Klasický RFID má vzdálenost dosahu podstatně vyšší, ale obsahuje většinou pouze identifikační kód, který jej propojí s backendovými informačními systémy. Podle ABI Research bude do roku 2012 více neţ 50 procent mobilních telefonů osazeno čipy NFC pro transakce krátkého dosahu.16
15
Zdroj: NFC Forum [on-line], Smart Card Firms Challenge US on RFID – vlastní překlad, [cit. 2011-12-01]. Dostupné z WWW: . 16 Zdroj: Computerworld [on-line]. E-commerce se stává bezkontaktní, [cit. 2011-12-02]. Dostupný z WWW: .
19
2.1 Mobilní komerce Mobilní komerce je obchodní transakce, která je prováděná prostřednictvím mobilních nebo bezdrátových technologií. V současné době se vyuţívají technologie 3G a HSDPA. Hlavní 3G standardy jsou: W-CDMA (wideband Code Division Multiple Access) – japonsko-evropský standard sítě mobilních telefonů, je součastí 3G standardů ITU-2000. Označuje se jako UMTS (universal Mobile Telecommunication Systém), který je nástupce systému GSM. První síť odstartovala v Japonsku uţ v roce 2001. CDMA 2000 1xEV – 3G standard ve Spojených státech amerických HSDPA Tato technologie je označována jako 3,5G – je to 5 inovace standardu UMTS a silně zvyšuje rychlost pro stahování (downlink). Maximální přenosová rychlost je 14,4 Mbit/s. V současné době tuto technologii nabízí T-Mobile ve svých mobilních internetech s přenosovou rychlostí 7,6 Mbit/s.
2.1.1 Druhy mobilní komerce m-Payment – platby prostřednictvím mobilního zařízení (mobil, PDA a elektronická peněţenka) m-Banking – u nás nejpouţívanější forma m-komerce, která umoţňuje správu účtů pomocí mobilních telefonů s GSM. m-Presence – prezentace pomocí webových stránek nebo WAP. m-Purchasing – mobilní nákupy na úrovní B2B (Bussines to Bussines), většinou jednorázové povahy. m-Shop – zaloţeno na B2C. podobný E-shopu, ale upravený pro podmínky mobilních zařízení (prodávání vyzvánění, Jawa her atd.) m-Tracking - umoţňuje sledovat analýzy přístupů na WWW stránky a identifikovat zákazníka a jeho operace.
20
m-Procurement -
vztahy na úrovni B2B, mobilní dodávky mezi dodavatelem a
zákazníkem. Umoţnuje mobilní řízení dodávek zboţí a tím dodrţovat stav zásob na určité hladině. Zákazník minimalizuje nákupní náklady17. m-Marketing – jsou to např. věrnostní programy, zasílání firemních log na mobil zákazníka, infokanály (zákazník, který bydlí v dosahu firmy, dostane informace o novinkách) m-Auction – princip mobilní aukce je zaloţen na stejných podmínkách jako u běţné aukce (prodejce vyhlásí zboţí a kupující nabízí vyšší cenu neţ předchozí zájemce), licitování prostřednictvím mobilních zařízení. m-Care – mobilní péče o zákazníka, jejíţ podstatou je vznik kontaktních center, které před přepojením na konkrétního ţivého pracovníka podají informace prostřednictvím hlasového automatu. Mass Customization – speciální nabídka pro určitou skupinu osob, kterým firma nabízí věrnostní programy nebo speciálnější sluţby. Powershopping – podnik slouţí jako zprostředkovatel nákupu. Nejdříve vyhlásí zboţí a samotnou cenu nechá aţ nakonec, kdy je znám počet zákazníků18. Pouţívá se také ve sluţbách (ubytování nebo „last minute“) Záleţí na spolupráci mobilních operátorů, bank a obchodníků jakým způsobem budou vyuţívat m-platby a tím jak získají více uţivatelů. Banka bude zdrojem financí zákazníka, mobilní telefon prostředkem placení a obchodník bude příjemcem platby, jak je nyní zvykem u platebních karet. Spoluprací těchto tří subjektů by mohla m-Commerce proniknout do maloobchodních transakcí.
2.2 Mobilní komerce a elektronické platby M-komerce je klíčovou součástí m-businessu, tj. on-line podnikání uskutečňovaného za podpory mobilních technologií, hlavně mobilního Internetu. Podle průzkumu společnosti Morgan Stanley se bude do pěti let připojovat k Internetu více uţivatelů přes mobilní zařízení, neţ prostřednictvím stolních počítačů. Nejčastěji má být mobilní Internet vyuţíván pro malé
17
BASL, J.; POUR J. Informační společnost a ICT. KADEŘÁBKOVÁ, A. a kol. Ročenka konkurenceschopnosti České republiky – analýza. Praha: Linde, 2006, s. 208-221. ISBN 80-86131-66-1. 18 GÁLA, L.; POUR, J.; TOMAN, P. Podniková informatika, 1 vydání Praha: Grada Publishing, 2005 482 s. ISBN 80-247-1278-4 21
přenosy prostřednictvím tzv. chytrých telefonů (smartphone), mobilních telefonů s pokročilými funkcemi, modemy v podobě datových karet či USB zařízení (v následujícím grafu jako „wireless modem“) při vysokých datových přenosech a poté mobilních zařízení na bázi iPhone se středně vysokými datovými přenosy. Graf č. 1 - Podíl bezdrátových modemů na přenosu dat
Zdroj: Morgan Stanley Research, [cit. 2011-12-01]. Dostupný z WWW:
Ţlutá barva znázorňuje uţivatele Smartphonů (maximálně staţeno 20 MB za měsíc), zelená uţivatele iPhonů (maximálně staţeno 200MB za měsíc) a červené uţivatelé bezdrátových 3G modemů (maximálně 1GB za měsíc).
2.3 Elektronické platební systémy Elektronické platební systémy jsou systémy bezhotovostních plateb realizované elektronickou cestou, tedy prostřednictvím Internetu či dalších prostředků ICT (Informačních a komunikačních technologií), proto jsou i tyto platební systémy v bankovnictví označovány jako elektronické bankovnictví (v případě pouţití Internetu jako Internetové bankovnictví) nebo také přímé bankovnictví. Elektronické platby realizované prostřednictvím Internetu zákazníkům nenabízí pouze mikroplatby, ale umoţňují realizovat platby o vyšších částkách (označované také jako makroplatby) a tedy nabízející moţnost širšího vyuţití. Existuje mnoho
22
způsobů dělení elektronických plateb19, pro vyuţití těchto plateb s mobilním Internetem je klíčové dělení podle způsobu jejich realizace: Off-line elektronické platby – informace o proběhnutí platební transakce je s výrazným zpoţděním (obvykle aţ v rámci několika dnů). On-line elektronické platby – úspěšnost transakce je bezprostředně po platbě (maximálně v rámci desítek vteřin) potvrzena odesílateli i příjemci peněz. Jako off-line elektronické platby jsou v současné době v tuzemsku zřejmě nejznámější: Platební příkazy elektronického bankovnictví. Platby platebními kartami kreditními či debetními a platby superCash na terminálech Sazky a České pošty. In-line elektronické platby v České republice: Prémiové SMS platby elektronickou peněţenkou platby platebními kartami kreditními i debetními Prémiové SMS V České republice jsou jediným univerzálním řešením pro mobilní platby, které nefunguje pouze v rámci jedné sítě mobilního operátora (jako u M-platby od T-Mobile či od Vodafone), ale funguje u všech mobilních operátorů působících v České republice (tedy T-Mobile, Telefónica O2, Vodafone a U:fon)20. Prémiové SMS jsou speciální SMS zprávy s vyšším tarifem které umoţňují pomocí mobilního zařízení zaplatit menší finanční částky, v České republice konkrétně v rozsahu od 3,- do 99,Kč. Prémiové SMS lze rozdělit na tzv. „Mobile Originated“ (MO), coţ znamená, ţe je zpoplatněna odchozí SMS zpráva a dále na „Mobile Terminated“ (MT), kdy jsou zpoplatněny naopak příchozí SMS zprávy. V České republice je v naprosto drtivé většině vyuţíván pro placení mobilními platbami způsob MO, nevýhodou jsou však velmi vysoké poplatky pro obchodníka za přijímání plateb prémiovou SMS, které dosahují cca 50% z placené částky. 19
Zdroj: Internet pro všechny [on-line]. Magazín o internetových technologiích, Mobilní komerce a elektronické platby, [cit. 2011-12-04]. Dostupný z WWW: . 20 Zdroj: Internet pro všechny [on-line]. Magazín o internetových technologiích, Mobilní komerce a elektronické platby, [cit. 2011-12-04]. Dostupný z WWW: .
23
Samotné přijímání plateb pomocí Prémiových SMS ale nezajišťují operátoři, nýbrţ tzv. agregátoři, kteří za ně tuto sluţbu zprostředkovávají. Vysoké poplatky i omezení mikroplateb tedy tuto platební metodu předurčují pouze pro placení za drobnější zboţí či sluţby v rámci vztahu B2C (tzv. business to consumer neboli prodej obchodníka konečnému zákazníkovi). Darovací SMS Darovací SMS zprávy, označované jako DMS (Donors Message Service), fungují podobným způsobem, ale jejich tarif je v ČR nastaven na 30,- Kč a poplatek za platbu si dle zákona mobilní operátor účtuje pouze 3,- Kč. Tento typ zpráv je ovšem určen výhradně pro neziskové organizace jako moţnost získávání příspěvků21. Výhody prémiových SMS: Dostupnost mobilních telefonů, jednoduchost ovládání a minimální poţadavky na rychlost datového přenosu. Nevýhody prémiových SMS: Vysoké poplatky pro obchodníka z příjmovou SMS a omezený platební rozsah. Platby elektronickou peněţenkou Elektronická peněţenka je určena pro mikroplatby i makroplatby a funguje podobně jako bankovní účet, je to on-line elektronický platební systém a platební transakce jsou tedy neporovnatelně rychlejší a obvykle i výrazně levnější. Jako nejznámější elektronické peněţenky, z nichţ všechny jsou k dispozici i v české lokalizaci, je moţné uvést celosvětově známý a velmi oblíbený PayPal, dále pak Moneybookers, GoPay, PayPay či česká PaySec od ČSOB a mPeníze od mBank. Pro fungování elektronických peněţenek v České republice byl zcela přelomový rok 2002, který přinesl platnost nového zákona č. 124/2002 Sb., jeţ stanovil, ţe platební systémy a tedy i elektronické peněţenky smí provozovat v České republice pouze drţitelé bankovní licence, coţ se poté stalo důvodem zániku některých elektronických peněţenek u nás22. 21
Zdroj: Internet pro všechny [on-line]. Magazín o internetových technologiích, Mobilní komerce a elektronické platby, [cit. 2011-12-04]. Dostupný z WWW: . 22 Zdroj: Internet pro všechny [on-line]. Magazín o internetových technologiích, Mobilní komerce a elektronické platby, [cit. 2011-12-04]. Dostupný z WWW: . 24
Na elektronickou peněţenku je moţno převést finanční prostředky z jiné elektronické peněţenky, dále převodem peněz z bankovního účtu (a to na stanovený bankovní účet pod variabilním symbolem identifikujícím konkrétní elektronickou peněţenku), či platební kartou přes platební bránu. Peníze z elektronické peněţenky je potom moţno odeslat na jinou elektronickou peněţenku či bankovní účet. Z účtu elektronické peněţenky lze platit na platební bráně přesměrované při objednávce přímo ze stránek internetových obchodů, dále je umoţněno účet elektronické peněţenky ovládat přes webové rozhraní sluţby či u některých poskytovatelů elektronických peněţenek (např. PayPal či PayPay) i pomocí příkazů v SMS zprávách, či pomocí e-mailu. Některé elektronické peněţenky nabízejí dokonce moţnost napojení na bankovní účet zákazníka a „strhávání“ poţadované částky přímo z jeho bankovního účtu. Příkladem budiţ elektronická peněţenka PayPal, která umoţňuje napojit účet elektronické peněţenky na platební kartu zákazníka a při platbě částku strhnout z jeho platební karty, resp. bankovního účtu23. Nízké poplatky i moţnost realizovat makroplatby umoţňují tuto platební metodu vyuţít nejen pro placení v rámci vztahu B2C, ale i B2B. Výhody nízké poplatky pro obchodníka za přijímání plateb elektronickou peněţenkou neomezený platební rozsah (makroplatby) Nevýhody vyšší poţadavky na rychlost a kapacitu datového přenosu Platby platebními kartami kreditními a debetními Existuje mnoho druhů platebních karet. Nejvíce vyuţívanými jsou u nás debetní a kreditní karty vydávané dvěma největšími kartovými asociacemi VISA a MasterCard a to s povolenými elektronickými transakcemi tzv. zabezpečeného typu, realizovanými přes systém 3D Secure.
23
Zdroj: Internet pro všechny [on-line]. Magazín o internetových technologiích, Mobilní komerce a elektronické platby, [cit. 2011-12-04]. Dostupný z WWW: .
25
Řešení pro přijímání plateb z debetních a kreditních karet přes Internet v České republice nezajišťují přímo jejich vydavatelé, nýbrţ partnerské banky, které za ně tuto sluţbu zprostředkovávají systémem 3D Secure realizovaným platební bránou Pay MUZO (kterou vyuţívají banky ČSOB, KB a eBanka) od Global Payments či vlastní platební bránou od České spořitelny. Výše poplatků i moţnost realizovat makroplatby umoţňují tuto platební metodu vyuţít v rámci vztahu B2C a méně výhodněji i B2B24. Výhody neomezený platební rozsah (mikroplatby i makroplatby) Nevýhody vyšší poţadavky na kapacitu a rychlost datového spojení vysoké poplatky pro obchodníka za přijímání plateb kartou Dalšími trendy m-komerce jsou např. navigační aplikace v mobilu.
2.4 Přístup k novým technologiím Bez ohledu na technologický pokrok, se můţe stát zpomalujícím faktorem také setrvačnost spotřebitelských návyků. Konzervativní přístup k mobilní komerci bude výraznější v oblastech, kde platby mobilním telefonem jsou vnímány jako další alternativa k jiţ existujícím. V České Republice je tento trend spíše konzervativní vzhledem k nabídce sluţeb mobilních operátorů a chování bankovních ústavů.
24
Zdroj: Internet pro všechny [on-line]. Magazín o internetových technologiích, Mobilní komerce a elektronické platby, [cit. 2011-12-04]. Dostupný z WWW:
26
3. Bankovnictví a platební karty v současnosti Platební karty jsou moderní nástroj bezhotovostního platebního styku, vyuţívané především k úhradě spotřebních výdajů a výběru hotovosti. Platební karta je plastová karta s údaji identifikujícími jejího drţitele. Její fyzikální vlastnosti a velikost je dána mezinárodní normou. Na přední straně platební karty je logo a název platebního systému, logo banky, číslo platební karty, jméno drţitele karty a čip. Na zadní straně je místo pro podpis drţitele na podpisovém prouţku a magnetický prouţek. Podle pouţité technologie se platební karty dělí na elektronické, embosované, čipové a internetové. Vyrábějí se ze tří vrstev netoxické plastické hmoty. Pomocí karty je prováděna identifikace drţitele karty, jeho autorizace ke vstupu, úhradě sluţeb nebo zboţí, výběr z bankomatu apod. Počáteční čísla karty určují vydavatele karty, dalších pět čísel vydávající banku a ostatní čísla identifikují drţitele platební karty. V 60. letech byly karty otázkou prestiţe a byly vydávány pouze váţeným bonitním klientům. Avšak kvůli nedostatečné rozvinutosti výpočetní techniky byly velké prodlevy v zúčtování a proto obchody byly ochotny ověřovat pouze vyšší sumy. Během 90. let dvacátého století se karty dostaly mezi širokou veřejnost. Zásluhu na tom má zejména velký pokrok ve výpočetní technice. I kdyţ se platební karty dostávají mezi širokou veřejnost, stále vypovídají něco o svém majiteli, jsou zárukou určité důvěryhodnosti klienta.25
Rozdělení karet Karty lze dělit podle následujících kritérií: zúčtování, provedení, vydávající skupiny, technologie, moţnosti pouţitelnosti, druhu klientely, úrovně sluţeb či rozsahu pouţití
3.1 Druhy platebních karet dle provedení a typu technologie
Embosované PK mají plastické písmo a umoţňují nakupovat i v prodejnách, které nejsou vybaveny elektronickým terminálem. Obchodník pouţívá imprinter (mechanický snímač). Tyto karty nabízejí banky klientům s vyššími příjmy nebo vysokoškolským studentům. Drţitel této karty má moţnost pouţívat kartu k placení v široké obchodní síti doma i 25
Zdroj: čerpáno z bakalářské práce: Petr Mixa – Platební karty a moţnosti jejich vyuţití. Str. 19-20.
27
v zahraničí. Lze jí pouţívat i off-line, kdy se pomocí imprinteru mechanicky otisknou údaje na účtenku a drţitel karty potvrdí svým podpisem
Elektronické PK slouţí k výběrům z bankomatu a pro platby u obchodníků, kteří mají elektronický platební terminál a plastické písmo neobsahují. Pouţívá se pro transakce v reţimu on-line. Hybridní PK kombinují magnetický prouţek s čipem a často jsou i embosované. Jsou akceptovány na celém světě. Bezkontaktní PK není omezena tvarem ani velikostí čipu. Základem je dual-interface čip, který umoţňuje provádět jak bezkontaktní i kontaktní EMV platby pomocí antény zapouzdřené v obvodě karty (příloha č. 2, obrázek č. 1). Bezkontaktní karty VISA – současný počet karet a terminálů v Evropě (8. Března 2011) Mapka č. 1
Zdroj: Bezkontaktní karty Visa – Vývoj v Evropě (8.3.2011), dostupné z WWW: .
Na mapě je znázorněn vývoj a stav pouţívání bezkontaktních karet VISA v Evropě. Velká Británíe, Francie, Polsko, Turecko a Slovensko jsou zeměmi, kde se jiţ bezkontaktně platí. Pilotní projekty těchto technologií jsou nyní spuštěny ve Španělsku, Portugalsku a Řecku. Ostatní země Evropy jsou v přípravné fázi (Od února 2012 po zkušebním testování v roce 2011 Komerční banka v ČR začala pouţívat bezkontaktní mobilní platby s NFC technologií).
28
Z mapy lze vyčíst, ţe Velká Británíe má nejrychlejší nárůst vydaných bezkontaktních karet. Turecko se můţe pochlubit s největším pouţitím těchto karet na jednoho drţitele karty. Francie se připravuje na celostátní rozšíření bezkontaktních plateb. V Polsku je dobrá koordinace a rychlý růst těchto platebních karet. Španělsko je známe svými inovativními a populárními pilotními programy. Slovensko prochází dynamickým nárůstem bezkontaktních karet VISA. Bezkontaktní platby umoţňují nahradit hotovost, pomáhají proniknout do nových obchodních sektorů (hromadná doprava), vytvářejí hodnotu pro všechny účastníky (vyšší objemy trţeb, více zákazníků). Bez infrastruktury bezkontaktních plateb nelze realizovat mobilní platby na POS (terminál prodejního místa).
3.1.1 Ochrana bezkontaktních karet Ochranu bezkontaktních karet lze rozdělit na jednofaktorovou a vícefaktorovou. Jednofaktorová ochrana - jedná se pouze o přečtení dat z karty. Vícefaktorová ochrana přečtení dat z karty je doplněno o další ověření drţitele např. zadání kódu PIN26. Většina bezpečnostních mechanizmů počítačových sítí pouţívá technologii PKI, která v současné době je největší běţně dostupné zabezpečení. Většina operačních systémů i aplikací podporuje standardy PKCS#11 a Microsoft CryptoAPI. Pomocí PKI karet se lze přihlásit do počítače, do aplikací, podepsat dokument nebo zašifrovat disk. Karty jsou schopné ukládat do sebe certifikáty a po zadání PINu generovat přístupové klíče.
26
Zdroj: Securityworld - magazín o IT bezpečnosti [on-line]. Jak zajistit propojení fyzické a IT bezpečnosti, [cit. 2011-12-07]. Dostupný z WWW: < http://securityworld.cz/securityworld/jak-zajistit-propojeni-fyzicke-a-it-bezpecnosti-3230>.
29
4. Bankovnictví a bezkontaktní technologie Bezkontaktní technologie otevírají další prostor v pouţívání platebních karet (příloha č. 2, obrázek č.2). Pod pojmem „Proximity Payment“ se skrývá placení pomocí přiblíţení bezkontaktní platební karty, předplacené platební karty nebo jiného identifikačního zařízení do blízkosti platebního zařízení (Point Of Interaction – POI). Pro uţivatele je toto řešení rychlejší a bezpečnější neţ platba v hotovosti. Kolikrát uţ se nám v ţivotě stalo, ţe jsme měli nedostatečnou peněţní hotovost. Řešením v této situaci by mohly být mobilní platební terminály GSM pro akceptaci sluţebních karet na bázi technologie Hypercom. Tyto terminály jsou mobilní. Napájení je zajištěno prostřednictvím baterií, přenos probíhá přes GSM. Vyuţití by mohly nalézt např. v restauracích, menších obchodech, u distribučních a roznáškových společností, u taxisluţby apod., tzn. v oblasti, kde je vysoký počet plateb s nízkou hodnotou a kde tradičně dominuje hotovost. Bezkontaktní technologie vylučují ověření totoţnosti drţitele karty klasickým způsobem (PIN, podpis). Řešením je stanovení maximální výše realizované platby, popřípadě povinná autorizace. Díky bezkontaktnímu řešení není omezen tvar ani velikost čipu. Proto k platbě budeme moci vyuţívat jakékoli předměty se zabudovanou technologií. V Turecku je moţné jiţ dnes platit hodinkami vybavenými systémem MasterCard PayPass. Probíhají zkušební programy s touto technologií, aplikovanou např. v mobilních telefonech nebo v přívěscích na klíče (příloha č. 3, obrázek č. 2), (příloha č. 4, obrázek č. 1). Základem bezkontaktní karty MasterCard PayPass je dual-interface čip, který umoţňuje provádět jak kontaktní, tak i bezkontaktní EMV platby pomocí antény, zabudované po obvodě platební karty. Karty operují na frekvenci 13,56 MHz a splňují standardy ISO 14443. V případě MasterCard PayPass jsou bezkontaktní platby podléhající EMV standardům vhodné především pro kartové produkty vydávané bankami. Společnost First Data však vyvinula i produkt zaloţený na bezkontaktní technologii, který je vhodný jak pro bankovní, tak pro nebankovní sektor. Pro tento účel uvedla společnost na trh nosič pod vlastní značkou GOTAG.27 Jde o nosič ve formě klasické karty, nebo alternativu v podobě nálepky, kterou si 27
Zdroj: Magazín Sdruţení pro bankovní karty [on-line], č 4/2009, [cit. 2011-12-10]. Dostupný z WWW: < http://cardmag.cardzone.cz/archiv/cm4_2009.pdf>.
30
klient nalepí například na mobilní telefon. Platební transakce se následně provede jednoduchým přiloţením GO-TAG platební karty či mobilního telefonu s „platební nálepkou“ GO-TAG ke kompatibilní čtečce. Výhodou GO-TAG je skutečnost, ţe tato technologie je kompatibilní i se zařízeními MasterCard PayPass nebo VISA payWave. Produkt GO-TAG od společnosti First Data, je kombinací moderní technologie a předplacené karty, který mohou obchodníci vyuţít zároveň i jako součást věrnostních programů. Další vývojový stupeň v oblasti bezkontaktních plateb představují tzv. NFC platby. NFC je zkratkou anglických slov Near Field Communication. Zařízeními umoţňujícími takové platby jsou NFC mobilní telefony, které je moţné vyuţít nejen jako platební nástroje, ale i jako přijímače pro mobilní marketing a moţnost plateb mezi jednotlivci. Právě nedostatečná penetrace těchto mobilních telefonů je v současnosti největší překáţkou masového rozšíření této technologie v regionu střední a východní Evropy. V současnosti však uţ probíhá implementace řešení na strategických platformách systému a společnost First Data. Pilotní projekt pro NFC platby byl spuštěn v roce 2010. Bezkontaktní platby ve spojení s mikroplatbami představují nový přístup k hotovosti, který je navíc rychlejší, pohodlnější a v neposlední řadě i výrazně bezpečnější, neţ tradiční hotovostní platba. Ať se jedná o kontaktní nebo bezkontaktní technologie, společnost First Data v maximální míře dbá na dodrţování přísných bezpečnostních poţadavků, definovaných kartovými společnostmi. Dodrţování těchto přísných poţadavků v oblasti fyzické, logické a organizační bezpečnosti je pravidelně kontrolované prostřednictvím externích a interních auditů. Jedním ze standardů, který komplexně pokrývá širokou oblast zpracování transakce, je jiţ známý standard Payment Card Industry Data Security Standard (PCI DSS). Standard je spravovaný organizací PCI Security Standards Council. V této organizaci jsou zastoupeny všechny nejvýznamnější kartové společnosti jako VISA, MasterCard, Dinners, JCB a jiné. Tyto přísně kontrolují dodrţování a důsledné plnění tohoto standardu. Standard PCI DSS je jedním ze skupiny bezpečnostních standardů, které definují pravidla bezpečnosti v oblasti zpracování platebních transakcí. Do této skupiny patří i standardy PCI PIN Transaction Security (PCI PTS), který definuje poţadavky na PED zařízení (PIN Entry Device) a na zařízení generující ochranné prvky a zároveň definuje i podmínky certifikace těchto zařízení a Payment Application Data Security Standard (PA DSS), který definuje a certifikuje aplikace zpracovávající platební transakce a údaje o drţitelích platebních karet.28 28
Zdroj: Magazín Sdruţení pro bankovní karty [on-line], č 4/2009, [cit. 2011-12-10]. Dostupný z WWW: < http://cardmag.cardzone.cz/archiv/cm4_2009.pdf>. 31
V souladu s poţadavky kartových společností musí být kaţdá společnost, která zpracovává, ukládá, uchovává nebo přenáší údaje o drţitelích platebních karet, certifikovaná vůči standardu PCI DSS. Proces certifikace klade důraz nejen na vysokou organizační připravenost společnosti, ale je i časově a finančně náročný. Společnost ucházející se o certifikaci musí úspěšně absolvovat kaţdoroční detailní a komplexní audit, realizovaný certifikovanou společností, tzv. Qualified Security Assesor, zkráceně QSA a zároveň musí projít čtyřikrát do roka externím testováním zranitelností infrastruktury společnosti. Vzhledem na náročnost a vysoké poţadavky standardu PCI DSS je okruh certifikovaných společností skutečně elitním klubem. Jednou ze společností, která úspěšně absolvovala certifikaci vůči tomuto standardu je i společnost First Data Slovakia. Společnost prošla úspěšně certifikaci v roce 2006 a od té doby patří mezi jednu z mála společností zařazených mezi certifikované poskytovatele sluţeb v oblasti zpracování platebních transakcí a údajů drţitelů platebních karet. Implementace přísných poţadavků standardu PCI DSS potvrzená kaţdoroční certifikací umoţňuje společnosti First Data Slovakia spolehlivě nabízet svým zákazníkům bezpečné řešení a prostředí na správu a zpracování jejich osobních údajů.29 Společnost Ingenico (Francie) reaguje na nové trendy v poţadavcích zákazníků - mobilita, konektivita, bezpečnost - a představuje novou multifunkční technologickou platformu pro mobilní sluţby a platební řešení. iPA 280 - řešení „vše v jednom“ - je skutečnou světovou novinkou a jediným PDA s platebními funkcemi, splňující poţadavky na vysokou odolnost pro práci v terénu. iPA280 je skutečné multifunkční zařízení sestávající se ze dvou základních modulů – z PDA a z platebního PIN padu (zařízení k zadávání PIN, příloha č. 4, obrázek č. 2) kde kaţdý je řízený svým dedikovaným operačním systémem a dostatečnou paměťovou kapacitou pro veškeré představitelné pouţití. Srdcem PDA části je výkonný procesor Marvel, který s dostatečným přehledem zvládá ovládat vestavěné periferie - 1D a 2D skener čárových kódů, tepelnou tiskárnu, GSM/GPRS modem s podporou datových i hlasových funkcí, GPS, komunikační rozhraní WiFi a Bluetooth a samozřejmě také barevný plně VGA dotykový displej s bezkontaktním snímačem pro RFID umoţňující nasazení jednotlivých aplikací pro jednotlivé segmenty podnikání. iPA však není jen zařízení, terminál či PDA. Spojením bezpečnosti při platbě kartou s obvyklými funkcemi PDA přenáší nové zařízení společnosti Ingenico celé prodejní prostředí do přenosného platebního terminálu. Je to platforma, která 29
Zdroj: Magazín Sdruţení pro bankovní karty [on-line], č 4/2009, [cit. 2011-12-10]. Dostupný z WWW: < http://cardmag.cardzone.cz/archiv/cm4_2009.pdf>.
32
umoţňuje flexibilní implementaci obchodních aplikací, nabídku nových sluţeb zákazníkům a vytváří tak nové zdroje podnikatelských příjmů. Reaguje také svými funkcemi na potřeby efektivního podnikání a propojuje veškerá získaná data do existujících firemních databází, CRM, skladových či účetních systémů. iPA 280 je součástí komplexních řešení pro ty podnikatelské subjekty, kde mobilita, platba, bezpečnost, konektivita, flexibilita, pohodlí a sluţby pro zákazníky jsou klíčovými prvky pro úspěšné podnikání – tedy pro obchodní společnosti, spedice, kurýrní a poštovní sluţby, logistiku, mobilní sázku a loterii, policii, pohostinství, rozváţkové sluţby.30 Slovenská republika (SR) 31. 07. 2008 uskutečnila první bezkontaktní transakci. Od 1. října 2011 mohou slovenští zákazníci získat při placení Paypass slevy a odměny u společností IKEA, Panta Rhei, Pet center a Cinema City. Transakce fungují na základě čipu, který lze zabudovat téměř do čehokoliv. Bezkontaktní platby jsou ideální pro novinové stánky, rychlá občerstvení, městkou hromadnou dopravu a všude tam kde nás můţe zdrţet placení hotovostí. Pomocí této technologie je moţné zaplatit poloţky aţ do výše 25€. Způsoby prodeje zboţí a sluţeb se neustále rozšiřují a dnes kromě internetu, mobilních telefonů a digitální televize se rozvíjí také placení pomocí bezkontaktních čipových karet a transporderů (převaděčů, tj. čipů s anténou, které slouţí k přijímání a vysílání signálu). Internet je dnes největší a nejrychlejší způsob placení zboţí a sluţeb na dálku. Pro platby na internetu se vyuţívá téţ tzv. Virtuální karta, kdy klientovi je přiděleno speciální číslo platební karty. Znakem budoucnosti také je, ţe karty se stávají vyjádřením ţivotního stylu a módním doplňkem drţitele karty. Podléhají módním trendům a budou se objevovat i tzv. image karty. Nejnovější platební karty mohou mít tvar klíčenek, mohou být průhledné i fosforeskující. Platební karta můţe být zabudována v hodinkách nebo v mobilním telefonu, to vše umoţňují tzv. bezkontaktní technologie. Další novinkou jsou tzv. tankautomaty, které umoţní úhradu za naplnění palivové nádrţe Vašeho vozu či elektronická peněţenka pro placení zboţí přes internet. Elektronické peníze lze povaţovat za náhradu bankovek a mincí, které jsou uloţeny na elektronickém mediu. V budoucnu platební karty nahradí jízdenky v městské hromadné dopravě, umoţní např. placení daní a to jen za předpokladu, ţe projdete kolem příslušného snímače. 30
Zdroj: Magazín Sdruţení pro bankovní karty [on-line], č 4/2009, [cit. 2011-12-10]. Dostupný z WWW: < http://cardmag.cardzone.cz/archiv/cm4_2009.pdf>.
33
V současné době společnost Monet+ vyvinula inovační řešení pro zajištění bezhotovostních plateb v systémech elektronického mýta. Tento systém můţe fungovat jak u mikrovlnného systému v ČR tak i u satelitního systému SR a současně můţe být začleněn i do jakéhokoliv jiného mýtného systému. Toto řešení zahrnuje také placení různými PK a tankovacími kartami na jednom univerzálním terminálu ČSOB (Monet+ vybudoval pro ČSOB autorizační středisko Fleet Card Centrum). Švýcarsko – Visa CodeSure (bezkontaktní karta) Jako první, budou mít z významného kroku ke zvyšování on-line bezpečnosti uţitek švýcarští zákazníci Cornér Bank, která dnes patří k jedné z nejvíce inovativních bank v Evropě. Jde o jedinečnou platební kartu s integrovanou klávesnicí pro zadávání PIN kódu. Uţivatelé při jejím pouţívání zadávají PIN přímo do karty.31 Kartou lze levněji a bezpečněji uskutečňovat on-line transakce ve standardu „Verified by Visa“, můţe se pouţívat pro placení u obchodníků i pro výběr hotovosti z bankomatů. Kromě toho karta disponuje funkci bezkontaktních plateb do částky 40 švýcarských franků pouhým přiblíţením karty ke čtečce. Platební karta disponuje osmiciferným alfanumerickým displejem a klávesnicí s 12 klávesami. Karta má ţivotnost 3 roky, resp. neţ dojde baterie (příloha č. 2, obrázek č. 1). Cornér Bank je první bankou na světě, která tuto kombinaci technologií vyuţívá. První bezkontaktní karta v České republice Česká spořitelna v březnu 2011 (jako první v ČR) oficiálně oznámila, ţe bude vydávat bezkontaktní platební karty a nabídne i bezkontaktní platební terminály. Bezkontaktní karty začaly v ČR nabízet i jiné banky. V poslední době zcela obměnila portfolia karet GE Money Bank. Citibank se podařilo vydat první českou bezkontaktní kartu MasterCard PayPass, která se představuje jako kreditní karta Shell MasterCard.
31
Zdroj: Profit [on-line], podnikatelský týdeník.Visa CodeSure – platební karta s funkcí bezkontaktní platby, [cit. 2011-12-11]. Dostupný z WWW: < http://profit.tyden.cz/clanek/visa-codesure-platebni-kartas-funkci-bezkontaktni-platby/>.
34
Při bezkontaktní platbě si vydavatel karty můţe libovolně nastavit různé bezpečnostní limity v různých intervalech. Bezkontaktní karta je nastavena např. na 10 bezkontaktních transakcí denně. Z těchto 10 transakcí je moţné 7 provést off-line a 3 on-line. Offline transakce funguje tak, ţe terminál se nespojí s bankou, ale čip karty a čip terminálu (oba jsou bezkontaktní) si ověří platnost karty a výši denního limitu pro bezkontaktní platbu a limit karty. Pokud je vše v pořádku, transakci povolí, PIN se nezadává. On-line transakce funguje stejně, ale mimo to se terminál nenápadně spojí s autorizačním centrem banky a ověří si, ţe karta není zablokovaná. Off-line transakce se sčítají, pokud dojde k naplnění, budete vyzváni k zadání PIN a platba kartou se autorizuje klasickou cestou. Poté se off-line limit pro den vynuluje a začíná se znovu. Podle země a nastavení terminálu můţe dojít k tomu, ţe pro vynulování off-linových transakcí bude potřeba provést klasickou fyzickou transakci kartou přes čip se zadáním PIN, tj. bezkontaktní platba se zamítne a poté opět bude limit obnovený. V kaţdé zemi nebo regionu je stanovený limit pro bezkontaktní platby. Na Slovensku je to 25,- EUR, v Polsku 50,- PLN, v ČR to bude 500,- Kč. Jde pouze o doporučený limit. Vydavatel karty i banka obchodníka můţe umoţnit bezkontaktní transakci bez omezení výše resp. omezenou jen limitem karty (tj. např. 30.000,- Kč). Taková transakce pak sice proběhne bezkontaktně, ale bude se muset zadat PIN. Aby nedošlo ke zneuţití bezkontaktní platby, kaţdý vydavatel karty si můţe libovolně nastavit tento počet offline a online transakcí. Při ztrátě karty můţe pachatel zneuţít kartu max. do výše offlinového limitu (tj. max. 500 Kč). Zároveň je zde pro něj vysoké riziko, ţe právě jeho transakce bude vyţadovat PIN, nebo se spojí s autorizačním centrem vydavatele karty, který obchodníkovi sdělí, ţe jde o blokovanou kartu. Riziko krádeţe hotovosti při ztrátě peněţenky je tak vyšší a pravděpodobnější, neţ riziko zneuţití nalezené karty. Platební karty s bezkontaktní technologií s názvem PayPass pod značkou MasterCard a PayWave pod značkou Visa fungují na bázi čipu a antény. Platba se uskuteční přiloţením karty k terminálu se snímačem a zvukový signál potvrdí, ţe platba proběhla32.
32
Zdroj: Profit [on-line], podnikatelský týdeník.Visa CodeSure – platební karta s funkcí bezkontaktní platby, [cit. 2011-12-11]. Dostupný z WWW: < http://profit.tyden.cz/clanek/visa-codesure-platebni-kartas-funkci-bezkontaktni-platby/>. 35
Bezkontaktní technologii si tedy můţete nechat nainstalovat i do vhodného typu hodinek, klíčenky nebo mobilního telefonu. Do budoucna se dá očekávat, ţe pouhým přiloţením mobilu k bezkontaktnímu platebnímu terminálu se zaplatí za jízdenku nebo nápoj v automatu. Není těţké vyvodit, ţe platba, která nevyţaduje ţádnou autorizaci, skýtá určité riziko. Pokud se k vaší kartě nebo mobilu dostane zloděj, nebude to mít s platbou těţké. Proto by měly být tyto platby určeny pouze pro tzv. podlimitní transakce – platby niţších hodnot. Diskutuje se o hranici 500 Kč. Zaveden by měl být také limit pro počet těchto transakcí. Takţe na příklad po provedení 3 podlimitních transakcí uţ by při další platbě byla vyţadována standardní autorizace – vloţení karty do terminálu a zadání PIN. Zavedením bezkontaktních karet by se měly výrazně zrychlit platby za drobné zboţí. Tomu by měla nahrát i skutečnost, ţe pro potvrzení platby nebude nutné zadávat PIN. Nejedná se ale o nic nového, naopak, je to záleţitost stará několik let, která ve světě existuje pod názvem bypass, coţ je řešení od společnosti MasterCard představené jiţ v roce 2003. S obdobným řešením pak přišla v roce 2007 i společnost VISA a nazvala ho PayWave. Obě řešení pouţívají RFID technologii a obě společnosti pak s příchodem smartphonů na trh začaly spolupracovat s jejich výrobci, aby bylo místo karty moţné pouţít smartphone vybavený technologií NFC (Near Field Communication). Odpůrci této technologie argumentují tím, ţe byť se v mnoha firmách karty s bezkontaktními čipy pouţívají jiţ dnes, např. pro vstup do budovy, vjezd autem do garáţe, platbu za oběd, tak se veškeré platby odehrávají pouze uvnitř dané společnosti, a proto není moţné tuto kartu zneuţít a pokud by jí někdo zneuţil, tak by se na to velice rychle přišlo. Namítají, ţe v okamţiku, kdy se tento nový způsob placení začne masově pouţívat, tak moţnost zneuţití výrazně naroste, neboť tomu nahraje právě bezkontaktnost čipu a moţnost provedení platby bez nutnosti potvrzení transakce. Z jejich pohledu by uţ byl lepší i snadno kopírovatelný magnetický prouţek, neboť kartou by bylo nutné čtecím zařízením projet. Argumentují tím, ţe díky pouţití bezkontaktního čipu je kaţdý, kdo se dostane do vaší těsné blízkosti, coţ je ve frontě v obchodě a v MHD zcela běţné, schopen s vaší kartou komunikovat. Zde je třeba zdůraznit, ţe útočník by se musel dostat opravdu do vaší těsné blízkosti, protoţe s pouţitými čipy, lze opravdu komunikovat jen na vzdálenost několika málo centimetrů.
36
I kdyţ kaţdý terminál je zaregistrovaný, je teoreticky moţné, ţe by útočník chodil mezi lidmi s terminálem a strhával by tímto způsobem z jejich účtu jen malé částky (tzv. salamiattack), které by v celkovém objemu mohly dosahovat značné výše a klient by si toho ani nevšiml. V současné době není znám způsob, jak tyto karty zkopírovat. Zavedení bezkontaktních čipů, čteček a terminálů je nákladná záleţitost, ale do budoucna by se měla tato investice rychle vrátit. Náklady na údrţbu budou minimální, neboť nebude docházet k ţádnému mechanickému opotřebení. Navíc nové terminály se mohou dodávat jiţ s podporou bezkontaktních čipů a staré se mohou postupně nahrazovat. Otázka je, nakolik bude za současných podmínek, které panují na trhu, tato forma placení pro obchodníky a pro banky výhodná a jak rychle budou tuto formu placení zavádět. Moţnost platit tímto způsobem budou moci všichni zcela bez omezení. Platba bude mnohem rychlejší, jednodušší a pohodlnější. Předpokladem je, aby tento způsob platby obchodnici podporovali a bylo vůbec kde platit. Občas se stává, ţe platba kartou není moţná, protoţe terminál nebo vzdálená komunikace s bankou nefunguje. Z těchto důvodů bude i nadále nutné sebou nosit hotovost. Bezkontaktní karty jsou zaloţené na standardu ISO/IEC14443, který se skládá ze 4 částí a popisuje karty komunikující na frekvenci 13,56MHz33 (příloha č. 3, obrázek č. 1). Ideální by bylo, kdyby měl kaţdý klient moţnost si sám nastavit maximální částku a počet transakcí, po kterých bude dotázán na PIN. Neautorizovaná transakce Z pohledu technologie je bezkontaktní karta z hlediska zabezpečení srovnatelná s čipovou. Po celou dobu transakce má navíc majitel kartu pod kontrolou, prakticky ji nedává z ruky. Existuje však moţnost, ţe by mohla data z karty přečíst cizí osoba. Snímač by ale musela přiloţit ke kartě na vzdálenost dvou aţ pěti centimetrů. Pravděpodobnost, ţe by mohl kartu někdo zneuţít bez povšimnutí, se omezuje pouze na velmi těsný kontakt. Výrobci počítají s počáteční nedůvěrou, a proto uţ jsou také na trhu speciální obaly na tyto karty, které garantují, ţe s kartou jsou data a peníze chráněny. Větší banky se zavedením bezkontaktních karet počítají, ale překáţkou jsou náklady na zavedení. Česká spořitelna se zavedením počítá, přesto tyto platební karty budou spíše doplňkem pro rychlé menší platby. 33
Zdroj: Clever and smart, internetový magazín o IT bezpečnosti, bezkontaktní platby jsou bezpečné? [cit. 2011-12-17]. Dostupný z WWW .
37
Citibank spustila u svých karet podporu 3D Secure. Karetní společnost platby na internetu platebními kartami podporují a pro maximální bezpečnost zavedly před 10 lety technologii nazvanou 3DSecure. Princip 3D Secure Při platbě na internetu je klient přesměrován na stránku banky nebo zpracovatele transakce obchodníka. Vyplní se platební údaje včetně čísla karty a odešlou se. Banka obchodníka zašle ţádost o ověření karty přímo vydavateli karty. Vydávající banka prostřednictvím prohlíţeče poţádá o zadání hesla a kartu autentizuje k transakci. Výsledek autentizace sdělí bance obchodníka. Pokud je autentizace úspěšná, banka transakci povolí. Samotné zadání dodatečného hesla či kódu můţe probíhat třemi způsoby: Autentizační kalkulátor. Ten klient dostane k platební kartě, na něm se vygeneruje speciální kód a zadá se do formuláře pro transakci. Zaslání SMS na číslo mobilního telefonu, které klient bance předem sdělil a zaregistroval. Vygenerování autentizačního kódu přímo na platební kartě, která má displej. Všechny tyto výše popisované moţnosti však byly pro české drţitele karet dosud nedostupné, přestoţe banky přijímající karty pro český internet plně nasadily podporu 3DSecure, šlo jen o jednostrannou akci ze strany akceptanta karet, ale stále chyběla podpora vydavatelů karet – neexistovala platební karta, která by byla do tohoto systému zapojena. Jak to funguje v praxi? Jakmile banka platební kartu zapojí do 3DSecure, při kaţdé platbě kartou na internetu u 3DSecure obchodníka bude klient informován, ţe karta je zapojena do 3DSecure a má kontaktovat svou banku. Pro aktivaci sluţby 3DSecure stačí zavolat na zákaznickou linku a telefonnímu bankéři po ověření sdělit číslo vašeho mobilního telefonu, na který si přejete posílat autorizační SMS. Při následné platbě kartou dojde k autorizačnímu procesu - na mobilní telefon přijde SMS kód, ten se zadá do pole pro platbu v prohlíţeči a transakci potvrdí.
38
5. Problematika kryptografických algoritmů Kryptologie je věda, která se zabývá především šifrováním. Dělíme jí na dva vědní obory, kryptografii a kryptoanalýzu. Kryptografie je část, která se zabývá šifrováním. Kryptoanalýza se zabývá metodami, jak získat z šifrovaných informací informace nešifrované. Kryptologie nás dnes a denně obklopuje na kaţdém kroku. Je to proto, ţe máme velké mnoţství tajných informací a potřebujeme, aby tajnými zůstaly. Dnes lidé pouţívají mobilní telefony, počítače, internet, e-maily, databáze, elektronické nákupy, bankomaty a další. Je třeba, aby do určité míry byla zajištěna bezpečnost informací, i kdyţ v dnešní době je to stále těţší. Moderní kryptografie pouţívá hardwarové i softwarové šifrovaní. Bezpečnost Stupně utajení poskytují informace o tom, jak jsou pouţité kryptografické systémy důvěryhodné, jaký mají stupeň utajení a jak jsou odolné proti kryptoanalytickým útokům. Stupeň utajení je závislý na počtu zpráv, které vznikají při jejich dešifrování, za předpokladu, ţe vyzkoušíme všechny moţné klíče. V praxi se vyskytuje pouze jeden systém, který nám zaručí dokonalé utajení, a tím je dokonalá šifra. Dokonalé utajení Pokud neznáme potřebný klíč, tak šifrovanou zprávu nerozluštíme. S šiframi se v mnoha zemích zachází jako se zbraněmi. Proto se musí dodrţovat Wassenaarská dohoda při jejich vývozu. Kryptoanalytické útoky spoléhají na vlastnosti algoritmu a také na některé známé poznatky obecné charakteristiky, nebo dokonce na některou předem danou nešifrovanou zprávu Útok je zaloţen na tom, ţe se útočník snaţí odzkoušet všechny moţné klíče a tím získat ze šifrované zprávy nešifrovanou. Nezbytnost zabezpečení citlivých dat (autentizace, důvěrnost, integrita) přenášených bezdrátovým médiem je nutná a komunikační prostředky se jiţ typicky snaţí nějakým
39
způsobem podporovat vhodné bezpečnostní mechanizmy. Zabezpečení dat však z jiného úhlu pohledu nemusí být pouze reakcí na ochranu citlivých informací, ale také mechanizmem, jak zavést např. zpoplatnění určité sluţby (accounting). U prvních bezdrátových systémů nebyl, pouze v ojedinělých případech, ţádný z výše uvedených bezpečnostních mechanizmů vyţadován. Příkladem je vyuţití celosvětového druţicového navigačního systému GPS (Global Positioning System) pro civilní sektor, kde jsou data z GPS satelitů vysílána nešifrovaná. Nová generace systému GPS jiţ počítá i se zajištěním důvěrnosti (z důvodu moţného zpoplatnění sluţby, podobně jako v případě televizního satelitního vysílání). Stávající systém GPS vysílá na odlišném kanálu mnohem přesnější informace, určené pro vojenské účely a ty jsou jiţ celkově lépe zabezpečeny (jedním z cílů je např. i zvýšená odolnost proti úmyslnému rušení či zmatení přijímače neautentizovaným signálem). Plošné nasazení vhodných bezpečnostních mechanizmů se komplikuje v tomto případě tím, ţe satelitní vysílání jsou z pohledu běţných uţivatelů typickým příkladem pouze jednosměrné komunikace. V současné době proto např. satelity vysílající televizní signál selektivně šifrují vysílaná data (rádia, televizní programy) různými šifrovacími klíči s omezenou časovou platností. V případě, ţe má uţivatel nějakou sluţbu (televizní program) předplacenou, tak od poskytovatele typicky obdrţí kryptografickou čipovou kartu s odpovídajícími dešifrovacími klíči, které se periodicky obměňují na základě řídicích signálů pravidelně vysílaných z vysílajícího satelitu. Dalším příkladem v Evropě asi nejpouţívanější bezdrátové technologie je GSM (Global System for Mobile Communication). Oproti svým analogovým předchůdcům jiţ GSM podporuje digitální přenosy hlasu a dat, coţ je nezbytný předpoklad pro zavedení moderních bezpečnostních mechanizmů. GSM telefon dnes v Evropě vlastní drtivá většina obyvatel. Bezdrátový signál je ve skutečnosti přenášen pouze mezi koncovými stanicemi (mobilní telefon) a základnovými stanicemi (BTS, Base Transceiving Station). Základnové stanice jsou pak připojeny do zbytku sítě metalickými spoji a pouze ve výjimečných případech i nákladnějším obousměrným satelitním spojem. V době, kdy se GSM systém navrhoval, bylo základním poţadavkem dosaţení alespoň takové bezpečnosti, jakou poskytovaly tehdejší pevné linky - především se jednalo o zajištění
40
autentizace (jednostranné ověření identity vlastníka telefonu a ochrana telefonu proti klonování), důvěrnosti (ochrana citlivých signalizačních a uţivatelských dat) a anonymity (nemoţnost vystopování polohy uţivatele sledováním rádiové komunikační linky). GSM k tomuto účelu vyuţívá bezpečného prostředí kryptografické čipové karty (SIM, Subscriber Identity Module), dočasných identifikátorů, a několika typů proprietárních algoritmů (A3 pro autentizaci, A5 pro šifrování, A8 pro generování šifrovacích klíčů), jejichţ princip fungování nebyl nikdy oficiální cestou publikován. Algoritmy A5/1 (A5/2 však byly v roce 1999 reverzním inţenýrstvím odhaleny a následně zveřejněny). Mezi základní nedostatky celého GSM patří v dnešní době pouţití slabé 64bitové proudové šifry, vyuţití pouze jednosměrné autentizace (BTS se neautentizuje vůči mobilnímu zařízení a můţe být tedy nahrazena falešnou BTS, která mobilu navíc dokáţe zakázat pouţití šifrování) a šifrování komunikace pouze v bezdrátové části sítě (na metalické síti či satelitním spoji jsou data typicky nešifrovaná). Na přelomu třetího tisíciletí se začaly bezdrátové technologie pouţívat i k běţným přenosům mezi jednotlivými uţivatelskými PC a tento trend byl o pár let později ještě umocněn masivním rozmachem pouţívání přenosných počítačů (notebooky, PDA atd.). V této době vznikaly technologie jako Bluetooth a WiFi, které měly umoţnit bezdrátové přenosy na relativně krátké vzdálenosti (desítky aţ stovky metrů). Se zabezpečením (autenticita, integrita, důvěrnost) přenášených dat se při návrhu počítalo, vědělo se o chybách existujících systémů, ale i přesto se v nových metodách zabezpečení objevilo několik zcela zásadních slabin (jak v návrhu, tak i v samotné implementaci). Otevřenost kryptografických algoritmů a jejich dostupnost širší veřejnosti však pomohla v relativně krátké době řady z těchto nedostatků detekovat a odstranit (a to jak v reálných zařízeních, tak i v novějších verzích specifikací). Bluetooth zařízení pouţívají k vytvoření šifrovacího klíče proceduru tzv. párování, kdy je klíč vytvořen na základě krátkého hesla či PINu. Samotná procedura párování se však ukázala jako zranitelná a konstrukcí vhodné zprávy umoţňuje útočníkovi párování i bez znalosti PINu. V mnoha jednodušších zařízeních je navíc PIN přednastaven (typicky s hodnotou 0000), coţ činí útok ještě snadnější34. 34
Zdroj: Y. Lu, and S. Vaudenay. Faster Corelation Attack and Bluetooth Keystresm Generator EO – vlastní překlad, [cit. 2012-01-05]. Dostupný z WWW: 41
Se získaným šifrovacím klíčem jiţ lze pak snadno pasivně odposlouchávat probíhající komunikaci. Bezdrátové sítě zaloţené na standardu IEEE 802.11 (označované a certifikované jako Wi-Fi kompatibilní) a jejich zabezpečení prošly v uplynulých letech výraznými změnami. Nejstarším podporovaným kryptografickým bezpečnostním mechanizmem je WEP (Wired Equivalent Privacy), zamýšlený zejména pro zajištění důvěrnosti, ale pouţívaný i pro autentizaci. Existuje několik variant jeho implementací, které jsou vţdy zaloţené na proudové šifře RC4, a rozdíl mezi nimi je pouze v podporované délce šifrovacího klíče (64, 128 či někdy i 256 bitů). Na WEP existuje v současné době celá řada pasivních i aktivních útoků jak na nevhodný autentizační mechanizmus (všichni uţivatelé sdílejí stejné klíče, protokol typu výzva-odpověď vyuţívá proudovou šifru, stanice si samy volí tzv. inicializační vektor), tak na samotný šifrovací mechanizmus vyuţívající nevhodně navrţený management klíčů (s vyuţitím statistických metod můţe útočník v řádech minut nepozorovaně odvodit statický tajný klíč). Novějším bezpečnostním mechanizmem, který řeší mnohé z výše uvedených nedostatků, je WPA (Wi-Fi Protected Access). Ten v principu zachovává pouţití WEP, ale pouze v rámci protokolu TKIP (Temporal Key Integrity Protocol)35. Pro šifrování kaţdého paketu je zde jiţ vygenerován zcela nový (dočasný) šifrovací klíč, zdvojnásobila se délka poţadovaných inicializačních vektorů a k zajištění integrity zprávy se kromě nekryptografického CRC-32 (detekční a opravný kód) pouţívá i kryptografický MIC (Message Integrity Code) označovaný jako Michael. Na WPA se aţ teprve nyní začínají objevovat první úspěšné útoky - jeden např. umoţňuje zaslat po 12-15 minutách do šifrované sítě 5-7 vlastních rámců. Posledním bezpečnostním mechanizmem je WPA2 (někdy označován jako RSN, Robust Security Network). WPA2 je standardizován v IEEE 802.11i a přidává podporu 128bitového algoritmu AES-CCMP (AES Counter Mode with Cipher Block Chaining Message Authentication Code), který slouţí pro zajištění důvěrnosti i integrity. V současné době nejsou známy ţádné praktické útoky na tento mechanizmus. Podpora AES však jiţ vyţaduje i výměnu hardware (přechod z WEP na WPA vyţadoval pouze upgrade firmware) a některé starší operační systémy jej nepodporují. 35
Zdroj: M. Beck, and E.Tews. Practical attacks against WEP and WPA – vlastní překlad, 2008, [cit. 2012-01-05]. Dostupný z WWW: . 42
Odlišné mechanizmy zabezpečení, jejichţ základní principy jsou ale do jisté míry velmi podobné mechanizmům pouţitým v Bluetooth či Wi-Fi, pak vyuţívají i modernější sítě typu ZigBee, WiMAX a mnohé další. Jednočipová kryptografická zařízení. Během popisu bezpečnostní architektury některých systémů jsem také několikrát zmiňoval vyuţití kontaktních kryptografických čipových karet (karty pro předplacené televizní vysílání, SIM karty v telefonech). Čipové karty jsou ale často vyuţívány např. i jako platební či identifikační a přístupové karty. Tyto karty pak běţně slouţí jako tzv. bezpečné nosiče dat, které navíc disponují určitým (i kdyţ značně omezeným) výpočetním výkonem. Jejich hlavním účelem je chránit citlivá data jejich vydavatelů (např. operátor mobilní telefonní sítě či banka) a musí proto být schopny zajistit těmto datům bezpečnost i v potenciálně nepřátelském prostředí (tj. v rukou uţivatelů). Kontaktní rozhraní, jehoţ prostřednictvím je po zasunutí do čtečky čip napájen, je ale z praktického hlediska poměrně omezující (vloţení karty do čtečky zabere čas). Tento problém byl odstraněn aţ zavedením bezkontaktních čipových karet resp. obecně RFID čipů (často téţ označovaných jako RFID tagů). Existuje poměrně široká škála produktů zaloţených na RFID, které se liší ať jiţ metodami napájení (aktivní RFID obsahují vlastní zdroj napájení, pasivní RFID
vyuţívají
k
napájení
elektromagnetické
indukce),
komunikační
frekvencí,
komunikačními protokoly atd. V současnosti je tato technologie vyuţívána jednak k označení a identifikaci zboţí (náhrada za čárové kódy), v bezdrátových čipových kartách (určeno zejména k identifikaci osob, umoţnění přístupu do budovy/místnosti, k provádění mikroplateb) či ve státem vydávaných elektronických identifikačních dokumentech (elektronické pasy). Starší systémy vyuţívající bezkontaktní karty či jiné tagy typicky nemají ţádné bezpečnostní mechanizmy implementovány - čip pak pouze v blízkosti přijímače vysílá nějaký identifikační kód, a na jeho základě systém rozpozná o jaký produkt/osobu se jedná. Udávaná vzdálenost vysílání pasivních tagů je totiţ mnohdy limitována na několik centimetrů a odposlech z větší vzdálenosti (zejména od tagu ke čtečce) není tak snadný, protoţe přenos signálových prvků vyuţívá tzv. zátěţové modulace. Zkopírování takovéhoto dostatečně blízkého (či nepozorovaně vypůjčeného) tagu není příliš obtíţné a zabere jen pár sekund.
43
Základními bezpečnostními poţadavky moderních čipů (ať jiţ s kontaktním či bezkontaktním rozhraním) jsou u kryptografických čipových karet odolnost proti neautorizovanému přečtení uchovávaných dat a s tím související obtíţnost padělání. U výrobců jednočipových zařízení stále přetrvává pro snazší "splnění" těchto poţadavků zcela utajený návrh daného čipu a mnohdy i vytváření proprietárních protokolů či šifrovacích algoritmů. Ukázkovým příkladem produktu se zcela utajeným návrhem (jeţ se z bezpečnostního hlediska ukázal jako zcela nedostatečný) je bezkontaktní čipová karta MIFARE Classic. Tuto bezkontaktní kartu vyuţívají mnohé instituce pro identifikační účely, systémy podnikové docházky či mikroplatby (např. za sluţby hromadné dopravy některých měst nebo celých zemí). Na konferenci Chaos Communication Camp (CCC) 2007 zjistili pánové Nohl, Evans a Plötz první schémata čipu MIFARE Classic. Odhalili také zcela zásadní chybu v návrhu generátoru pseudonáhodných čísel. Pseudonáhodná čísla generovaná pomoci registru s lineární zpětnou vazbou (LFSR) jsou navíc pouze 16bitová, coţ je v dnešní době zcela nedostatečné. Prezentovaná metoda snímání a automatické rekonstrukce funkcionality čipu je zcela jasným signálem, ţe zabezpečení zaloţené na utajování algoritmu jsou dnes jiţ nedostatečné. V témţe roce se na MIFARE Classic objevilo i několik dalších útoků, demonstrujících jak chyby v komunikačním protokolu vedoucí aţ k získání části tajných informací uloţených v čipu. 36 V posledních letech se prosadily nejrůznější elektronické identifikační dokumenty (pasy, identifikační karty, řidičská oprávnění). V České republice se v současné době můţeme setkat zejména s elektronickými pasy. Součástí těchto pasů je kryptografická čipová karta s bezkontaktním komunikačním rozhraním. Uvnitř této karty jsou nahrány veškeré informace, které jsou v tištěné formě viditelné v pasu, ale také dodatečné tzv. biometrické údaje (např. fotografie, otisk prstu) slouţící k přesnější identifikaci předkladatele pasu. Tato data jiţ zcela evidentně nejsou vlastnictvím vydavatele daného dokumentu (tj. státu), ale jedná se o osobní údaje drţitelů pasů. I v případě elektronických pasů se však začaly objevovat určité nedostatky. Mechanizmy slouţící proti padělání pasu (tzv. pasivní a aktivní autentizace) jsou do značné míry podobné s mechanizmy pouţitými u kontaktních čipových platebních karet kompatibilních se specifikací EMV (tzv. statická a dynamická autentizace dat). Problematickým místem je ale řízení 36
Zdroj: F. D. Garcia et al. Dismantling MIFARE Classic – vlastní překlad, 2008, [cit. 2012-01-07]. Dostupný z WWW: . 44
přístupu, které je v první verzi navrţeno tak, ţe k autentizaci vyuţívá dat snímaných ze strojově čitelné zóny pasu (MRZ - Machine Readable Zone). Původním předpokladem (pro zamezení neoprávněného, neautorizovaného a nepozorovaného kopírování pasu) bylo, ţe přístup k čipu získá jen ten, kdo pas fyzicky vlastní (a má tedy přístup k MRZ). Ukázalo se však, ţe data v MRZ obsahují jen málo entropie - namísto teoretických 58/74 bitů obsahují data jen 32 bitů (tj. jsou snadněji předvídatelná). To umoţňuje bezkontaktní a nepozorovaný přístup k citlivým informacím mnohem většímu okruhu útočníků. Tento problém je vyřešen aţ rozšířeným řízením přístupu, které je zaloţeno na důmyslnějších metodách symetrické a asymetrické kryptografie. Celý mechanizmus je navrţen tak, aby jednotlivé státy mohly ovlivnit, které ostatní státy budou mít přístup k citlivým osobním (zejména biometrickým) údajům jejich občanů a drţitelů pasů. Dalším z často pouţívaných bezkontaktních zařízení je dálkové uzamykání a odemykání auta či garáţe. První klíče se u aut objevily v roce 1919, jako obrana před krádeţí. Nešlo o klíče bránící přístup do automobilu, ostatně mnohá z aut neměla ani střechu, ale o klasické startovací klíčky. Teprve od konce dvacátých let minulého století se u aut se střechou bránilo přístupu do vozu právě zámkem na dveřích. Snaha výrobců aut a garáţových systémů poskytnout řidičům co nejvíce pohodlí při běţných činnostech vedla k tomu, ţe se v padesátých letech objevil systém vzdáleného přístupu do garáţí bez klíče (RKE, Remote Keyless Entry), který byl od roku 1983 zaveden i pro automobily. Vlastník vozidla dostal s klíčkem od startéru i bezdrátový vysílač, jenţ umoţňoval ovládat zámky u dveří auta. Systémy dodávané do devadesátých let však měly problém. Vhodně vybavený útočník mohl kód (libovolně dlouhý a komplikovaný) posílaný bezdrátovým klíčem nahrát a kdykoliv zopakovat tak, aby si vyhlédnuté auto či garáţ znovu otevřel. Frekvence dodávaných systémů byly veřejně známé (315 MHz v Severní Americe a Japonsku, 433.92 MHz v Evropě) a sestrojit podobný přístroj nebylo technicky neřešitelné. Řečeno odborně - systém nebyl chráněný proti útokům přehráním. V průběhu devadesátých let minulého století se tak začala postupně uţívat zařízení firmy Microchips, která v sobě obsahovala algoritmus KeeLoq, který uţ tomuto jednoduchému
45
útoku byl schopen odolat. Jeden z přístupů, tzv. "rolling codes" spočívá v tom, ţe zámek i fyzický klíč mají synchronizovaný čítač, který s kaţdým dalším zmáčknutím fyzického klíče obě strany zvýší. Toto číslo je navíc pouze vstupem do speciální funkce, jejímţ výsledkem je špatně predikovatelná posloupnost bitů posílaná směrem k zámku. Odposlechnutí tedy moţné je, ale prosté zopakování jiţ poslané sekvence útočníka k úspěšné krádeţi nedovede. Vývoj těchto vzdálených klíčů se nezastavil a pokračuje úspěšně dál, představena byla další zařízení od různých výrobců, která v sobě kombinují krom klíčů i platební karty a ještě více usnadňují ţivot uţivatelům automobilů (pouţívají ho automobilky jako VW, Fiat, Chrysler, Honda, Jaguar atd.).
5.1 Postranní kanály, odběrová analýza Během práce libovolných počítačových čipů, tvořených milióny tranzistorů, nejsou jednotlivé bloky čipu vytěţovány stejnou měrou. Zpracovává-li kryptografický čip tajná data a provádí tedy nějaký algoritmus, pak jednotlivé části takového algoritmu, např. blokové šifry, se na procesoru projeví v různý okamţik jinak velkým odběrem. Sledováním tohoto odběru se zabývá tzv. Jednoduchá odběrová analýza (SPA)37. Při vyuţití statistických metod a násobného měření (prováděného i na různých vstupních datech) je moţné odhalit pomocí diferenciální odběrové analýzy (DPA - Differential Power Analysis) nejen samotné operace, ale i jednotlivé bity tajných dat, které do procesu šifrování také vstupují. Postupným odhalováním dalších vlastností operací a jejich operandů je moţné se postupně dobrat aţ k celému tajnému klíči.
5.2 Útoky na KeeLoq Uvnitř KeeLoqu se skrývá algoritmus generování přístupových kódů, který vyuţívá principu tzv. posuvných registrů s nelineární zpětnou vazbou, NLFSR, (Non-Linear Feedback Shift Registers). Funkce dostává na vstupu sadu bitů a na základě svého předchozího stavu a vstupu vygeneruje nejen výsledek, ale i stav pro další výpočet. Tyto funkce se často pouţívají jako 37
Zdroj: P. Kocher, J. Jaffe, B. Jun. Differential Power Analysis – vlastní překlad, [cit. 2012-01-07]. Dostupný z WWW: .
46
základ pro generátory pseudonáhodných čísel, a v KeeLoqu měly za úkol zabránit moţnosti odposlechu a následného přehrání kódu pro manipulaci se zámky. V roce 2007 skupina studentů a výzkumníků z univerzity v Leuvenu ve spolupráci s dalšími týmy nalezla další útok. Ukázalo se, ţe pokud by se jim podařilo odhalit klíč pro konkrétního výrobce zařízení zaloţených na KeeLoqu, stačilo by jim k úspěšnému útoku jen odposlechnout komunikaci mezi zámkem a klíčem.38 KeeLoq předpokládá, ţe vysílač v daném systému vlastní unikátní tajemství, kterým šifruje sekvence posílané směrem k přijímači, zatímco přijímač obsahuje tzv. hlavní klíč (master key) - bez znalosti konkrétního tajemství vysílače je tak schopen ověřit, ţe komunikace, která s ním probíhá, pochází od výrobce. 31. března roku 2008 přišel tým z univerzity v Bochumi s kompletním postupem, který následně bylo moţné zrekonstruovat původní klíč. Analýza postranních kanálů se ukázala klíčovou. Umoţnila vyčtení tajných klíčů výrobců z přijímačů zabudovaných v garáţových vratech. Bezkontaktní technologie představují sloţitou technologickou oblast z hlediska zabezpečení. Jejich odposlech je často technicky realizovatelný i s menšími prostředky a všechny důleţité věci kolem zajištění autentizace, integrity nebo důvěrnosti je třeba řešit na úrovni kryptografických operací. V posledních letech se navíc ukazuje, ţe softwarová a hardwarová stránka kryptografických zařízení spolu velmi těsně souvisí. Chyba na jedné nebo druhé straně můţe vést k dalekosáhlým následkům a nemalým investicím na záchranu nezabezpečených systémů. V době značného technologického pokroku a rychlých komunikačních sítí, je i termín tzv. výpočetní bezpečnosti podrobován neustálým zkouškám.
38
Zdroj: Cosic [on-line], stránka o kryptografii. How To Steal Cars - A Practical Attack on Keeloq – vlastní překlad, [cit. 2012-01-17]. Dostupný z WWW: .
47
6. Ochrana bezkontaktních technologií Pouţití bezdotykových karet umoţnilo zefektivnění celkového řízení fyzického přístupu automatickou autentizací a následnou autorizací. Elektronicky realizovaná kontrola dovoluje vytváření profilů k jednotlivým identitám a přidělení přístupů do rozdílných částí objektů s různou mírou bezpečnosti. Jedno-faktorová identifikace (pouhé přečtení karty) je zpravidla akceptovatelná v běţném přístupovém systému, pro přístup do prostor s vyššími poţadavky na ochranu je třeba jí doplnit o druhý faktor – o ověření drţitele zaloţené na zadání kódu PIN nebo na porovnání biometrického vzorku, zpravidla oční sítnice, otisku prstu apod. Naprostá většina instalací, zabezpečení podnikových sítí a počítačů, je postavena na technologii PKI, která v současné době nabízí nejvyšší dostupný stupeň ochrany. Většina operačních systému i aplikací jiţ podporuje standardy PKCS#11 a Microsoft CryptoAPI, takţe je moţné se pomocí PKI karet přihlásit do počítače, aplikací, podepsat e-mail či dokument nebo šifrovat pevný disk. Pro ukládání certifikátu se vyuţívají kontaktní čipové karty, případně USB tokeny, které jsou schopny po zadání PIN bezpečně generovat klíče, ukládat certifikáty či provádět šifrovací operace.39
6.1 Ochrana klienta před zneuţitím bezkontaktní karty v ČR Ochrana bude pro případ ztráty nebo zcizení karty zajištěna standardní blokací karty. Další ochranou je pětisetkorunový limit a také skutečnost, ţe po určitém počtu bezkontaktních plateb bude nutné kartu i při malém nákupu vloţit do platebního terminálu a platbu potvrdit zadáním PIN a tím bude zajištěna bezpečnost platby a klienta.
39
Zdroj: SecurityWorld internetový magazín o IT bezpečnosti, jak zajistit propojení fyzické a IT bezpečnosti, [cit. 2012-01-07]. Dostupný WWW: < http://securityworld.cz/securityworld/jak-zajistitpropojeni-fyzicke-a-it-bezpecnosti-3230>. 48
6.1.1 Nebezpečí zneuţití karet s bezkontaktními čipy Karty s bezkontaktními čipy mohou být manipulovány pomocí čteček, které se dají koupit snadno a levně na internetu. Je moţné z nich číst i zapisovat na různé vzdálenosti. U Opencard je vzdálenost okolo 10cm a při pouţití silnějšího budícího elektromagnetického pole je tato vzdálenost větší. Proti zneuţití se lze bránit např. odstíněním čipu tj. zabalit kartu/čip do speciálních pouzder, které se jiţ začínají objevovat na trhu. Stačí i jednoduchá varianta – zabalit kartu do několika vrstev alobalu (vytvoření kapsičky z igelitové kapsy, která bude uvnitř polepená alobalem).
6.1.2 Bezpečnostní mechanizmy bezkontaktní čipové karty Aplikační zabezpečení: - Přístupová práva, která zajištuje mikroprocesor - Všechny přístupy do EEPROM (elektronicky mazatelná paměť, která se musí před novým naprogramováním vţdy celá smazat. Vyuţívá se jako úloţiště dat u zařízení, kde nedochází často k přepisům paměti) jsou kontrolovány mikroprocesorem - Zápis i čtení probíhá pomocí kryptografického klíče - Autentizace pomocí PINu Zabezpečení čipu: -
Paměť ROM nelze změnit ani smazat
-
Ochrana proti přímému fyzickému útoku (tamper-proof)
-
Ochrana proti smazání pomocí UV nebo rentgenového záření - Ochrana proti příliš nízké frekvenci hodin40 (Elektrický signál, jehoţ změna způsobuje změnu stavu sekvenčního digitálního elektronického obvodu. U procesoru je nazýván taktovací frekvence. U čipu v PK a ostatní paměťových mediích je uloţený spolu s daty a pomáhá je rekonstruovat.)
-
Automatické zničení čipu při útoku sondou (probing)
40
Zdroj: Čipová karta v informačních systémech, P. Hanáček, V. Matyáš, [cit. 2012-01-09]. Dostupný z WWW: <www.datakon.cz/datakon08/d03_tut_hanacek.pdf>. 49
7. Nové technologie a predikce jejich vyuţití v budoucnu Mezi nové technologie patří platební karta s displejem, která je buď embosovaná (pak ji chybí klávesnice), nebo je elektronická (pak na ní můţe být umístěna i klávesnice), (příloha č. 3, obrázek č. 1). Varianta bez klávesnice po stisknutí tlačítka ihned vygeneruje jednorázový autentizační kód. Ten můţe slouţit pro přístup do internetového bankovnictví, nebo jako potvrzení platby kartou přes internet nebo obecně bez její přítomnosti (MO/TO). Tento prvek zabezpečení má i nevýhodu: kdyţ kartu ztratíte, pachatel má stejné moţnosti jako vy. Jednoduše vygeneruje kód a platí. Podobně při nálezu karty ihned ví, jaké bance patří a můţe se pokusit přihlásit do internetového bankovnictví (pokud je tak karta nastavená). Na druhé straně nehrozí její zneuţití na dálku nebo na internetu41. Kdo ji nemá fyzicky v ruce, nezaplatí s ní. Teoreticky karta s klávesnicí je na tom lépe, nejprve musíte na klávesnici zadat PIN, teprve poté se vygeneruje autentizační kód. Klávesnice umoţňuje zjistit i zůstatek na kartě, resp. na účtu, který je ke kartě vedený. Ten se aktualizuje na čipu při kaţdém pouţití karty v terminálu nebo bankomatu a prostřednictvím displeje (a po zadání PIN) jej lze v off-line reţimu zobrazit. Vzhledem k přítomnosti klávesnice však karta nemůţe být embosovaná. Kartu s displejem lze mít i s technologií PayPass, pak uţ ovšem nemá klasický čip. Existuje však karta, která má v sobě všechny tři technologie: bezkontaktní čip, klávesnici a displej. V ČR se zatím s těmito kartami nesetkáme. Náklady na výrobu takovéto karty se pohybují od 5 do 15 USD. Kartu prodraţuje způsob výroby. Běţné platební karty se lisují za tepla, karty s displejem se lisují zastudena. Mobilní telefony s bezkontaktní technologií Mobilní telefony vybavené bezkontaktní technologií NFC (Near Field Communication) jsou poměrně vzácné. První komerční NFC aplikace, která skutečně funguje v reálném provozu (platby, lístky a věrnostní program) byla spuštěna v Turecku společně Garanti Bankou a telekomunikačním operátorem Avea. V Holandsku jsou dohody mezi bankami a mobilními operátory jiţ podepsány, ale reálný start se odhaduje na konec roku 2012. Společnosti Visa a
41
Zdroj: Magazín Sdruţení pro bankovní karty [on-line], č 1/2011, [cit. 2012-01-10]. Dostupný z WWW: . 50
MasterCard stále nebyly schopné dohodnout se s mobilními operátory na zahájení společných bezkontaktních sluţeb NFC. V USA mají se třemi ze čtyř velkých telekomunikačních operátorů vytvořený joint-venture společnosti Discover a Barclaycard na přípravu NFC sluţeb. Mohly by tak překvapit nepřipravené americké banky. Platební karta s klávesnicí Bezkontaktní platební karta Visa CodeSure je další z řady inovací v oblasti platebních karet. Unikátní je tím, ţe je kromě moţnosti uskutečňovat platby pouhým přiblíţením k terminálu vybavena integrovanou klávesnicí. Jejím prostřednictvím jsou generována jednorázová hesla pro transakce, které se uskutečňují bez aktivní účasti samotné karty. To uţivatelům zajišťuje dokonalou bezpečnost a pohodlné ovládání. Samotným bankám potom Visa CodeSure umoţňuje přejít od autorizace na základě dvou faktorů ke komplexnímu řešení, které je vystavěno na několika kanálech. Z toho profitují i samotní drţitelé. Jsou ještě výrazněji chráněni při uskutečňování transakcí, které jsou prováděny bez aktivního vyuţití samotné platební karty. A to včetně elektronického obchodování, či telefonického a internetového bankovnictví. Řešení vyuţívá zabezpečený osmiciferný alfanumerický displej, který během procesu ověřování předkládá uţivatelům intuitivní zprávy. Klávesnice s 12 klávesami potom umoţňuje vyuţít aţ deset různých způsobů ověřování totoţnosti.42 Novinku čeká rychlé rozšiřování. Testování se účastnil široký okruh bankovních institucí včetně BarclayCard, Yapi Kredi (Turecko), IW Bank (Itálie), CAL Bank (Izrael) a DKB (Německo). Jiţ brzy budou moci drţitelé karet skloubení těchto nejmodernějších technologií plně vyuţívat u obchodníků, kteří podporují bezkontaktní platby, po celé Evropě. Z novinky jiţ profitují švýcarští drţitelé karet. Jako úplně první ji na trh uvedla švýcarská Cornèr Bank. Karta Visa CodeSure vyuţívá inovovanou technologii vzájemného ověření společnosti Emue. Jednorázový autorizační kód drţiteli karty potvrzuje, ţe jedná se svou bankou. Teprve po ověření správnosti kódu drţitel zadává svůj PIN a vytváří jednorázový přístup pro banku. Tím se bezpečně autorizuje totoţnost obou účastníků transakce, coţ výrazně pomáhá například v boji proti podvodům na internetu a „phishingu”. Karta Visa CodeSure je vybavena dalšími technologickými novinkami. Jednou z nich je tzv. „Transakční podpis“. Ten umoţňuje bezpečně „podepsat“ částku při online bankovním 42
Zdroj: Magazín Sdruţení pro bankovní karty [on-line], č 1/2011, [cit. 2012-01-10]. Dostupný z WWW: . 51
převodu s uvedením dat a detailů účtu a eventuálně i částkou. Také je na ní moţné uchovat data, která drţiteli karty umoţní ověřovat svou identitu u více neţ jednoho poskytovatele sluţeb, například bance, úřadu státní správy či firemní síti. Neméně důleţité je to, ţe samotný PIN uţivatele není uloţen na platební kartě. V případě odcizení karty se tak k němu nemůţe dostat nikdo cizí. Zároveň toto řešení zvyšuje flexibilitu při změně a správě PINu43. Kam bude směřovat vývoj bezkontaktních technologií? Časem se terminály obejdou bez kontaktních čteček, budou se skládat pouze z displeje a klávesnice nebo i ta se nahradí biometrickým snímačem. Tisk stvrzenky nebude nutný, neboť kaţdá transakce bude uloţena v paměti karty a drţitel si ji bude moci kdykoliv zkontrolovat přiloţením k vlastnímu NFC mobilnímu telefonu. Jaká bude podoba PK? Budou to pravděpodobně klasické plastové karty, součásti hodinek, prstenů nebo mobilních telefonů. To uţ bude záviset na marketingových oddělení výrobců čipu. Platební karty a terminály určitě nezaniknou, Budou se jen ubírat směrem k miniaturizaci a vyšší bezpečnosti. V Evropě je snahou prosadit jednotný protokol pro komunikaci mezi terminály a autorizačním centrem (EPAS). V budoucnu se bude nepochybně všude platit bezhotovostně.
43
Zdroj: Magazín Sdruţení pro bankovní karty [on-line], č 1/2011, [cit. 2012-01-10]. Dostupný z WWW: . 52
8. Ověření a zhodnocení hypotézy dané cílem práce Jsou bezkontaktní technologie procesem vědecko-technickým nebo důsledkem současné komerce? Pro ověření této hypotézy pouţiji bezkontaktní čipové karty k placení jízdného v ČR. Tyto fungují jiţ několik let v řadě měst, např. v Plzni, Pardubicích a Brně. Vědecko-technický rozvoj a komerce v této oblasti jsou navzájem silně provázané. Komerce podporuje a financuje vědecko-technický vývoj, na jehoţ základě se rozšiřují sluţby, zvyšuje se rychlost a mnoţství prováděných plateb a tím se zvyšuje i zisk společností a obchodníků. Počáteční provoz sice vyţaduje nemalé finanční náklady, ale během pěti let se tyto náklady bezpečně vracejí zpět. Vědecko-technický rozvoj působí na komerci, obchodníky a banky tím, ţe se zvyšuje např. profit z prodeje a získávání nových zákazníků. Ti, kteří zaostávají v jeho vyuţívání, postupně ztrácejí svoji klientelu, prestiţ a v konečném důsledku i zisk.
8.1 Pardubická karta Pardubická karta je bezkontaktní čipová karta zaloţená na standardu Mifare Standard. Karta plní dvě základní funkce: je to časová jízdenka a elektronická peněţenka pro platby jízdného, lze s ní také uhradit parkovné, vstupné na sportovní akce atd. Celý projekt začal v roce 1998 a byla na něj poskytnuta dotace ze Strukturálních fondů EU v hodnotě 18 miliónů Kč, 6 milionů hradilo město Pardubice ze svého rozpočtu. Pardubická karta je vydávána ve třech variantách: Personalizovaná - funguje jako elektronická peněţenka a nepřenosné časové jízdné a na kartě je uvedena fotografie uţivatele a jeho jméno. Nepersonalizovaná (anonymní) - funguje také jako elektronická peněţenka a časové jízdné přenosně, na kartě není uveden ţádný údaj o drţiteli karty. Zaměstnanecké karty - určené pro řidiče, revizory a servis.
53
Tabulka č. 1 - Základní parametry bezkontaktní Pardubické karty Frekvence přenosu dat
13,65 MHz
Rychlost přenosu dat
106 Kb
Doba transakce
< 100ms
Paměť karty
EEPROM 4,096 KB z toho přístupná pro uţivatele 3,440 KB
Rozdělení sektorů paměti
32 sektorů se 4 bloky po 16 B a 8 sektorů po 256 B
Ţivotnost přepsání
Minimálně 100 000 zápisů
Ţivotnost zapsaných dat
10 let
Provozní vzdálenost
100 mm
Materiál
PVC
Rozměry
85,6 x 54 x 0,76
Napájení čipu
Indukční
Provozní teplota
Od – 25 do 70ᵒC
Zdroj: Vlastní tvorba z technických údajů karty Mifare Standard 4 kyte Card IC MF IC S70 (Mifare Standard 4K)
Přístup do karty je šifrován dvěma klíči a u kaţdého klíče jsou nastavené povolené operace s daty. Kaţdá karta má vlastní identifikační číslo nastavené výrobcem, které normální uţivatel nemá moţnost změnit. Karta je optimalizována pro přístup několika subjektů najednou. Pardubická karta je multifunkční čipovou kartou, kterou lze vyuţívat jako platební a zároveň jako identifikační kartu. Z toho plynou následující výhody: Pro region: Zvýšení prestiţe města a propagace města Pro majitele karty: Bezhotovostní placení Univerzální karta pro více sluţeb Levný a rychlý platební styk v menších částkách
54
Pro poskytovatele sluţeb: Jednoduché a pohodlné poskytování sluţeb Omezení manipulace s hotovostí Systém výhod pro majitele karty Provázání s klienty
8.2 Plzeňská karta Pouţívá se od 1. května 2004, je to multifunkční čipová karta s čipem Mifare Classic 1 KB, je personalizovaná – přidělena jednomu drţiteli. Platba je provedena přiloţením karty ke čtecímu poli. Od 1. června 2006 se souhlasem České národní banky se stala také platebním prostředkem, který je pouţitelný všude, kde jsou platební terminály. Kartu lze pouţít ve veřejné dopravě, jako elektronickou peněţenku, identifikační systém, jako rezervační systém pro kulturní akce. Touto kartou je moţné zaplatit vstup do botanické zahrady, ZOO nebo na plavecký stadion. Karta nahradila lístky do veřejné dopravy, peníze, průkazku do knihovny, mobilní telefon a věrnostní kartu. V Plzni se v současné době testuje mobilní podoba městské karty s technologií NFC44, zkouší se na terminálech MHD. Zájemci si mohou koupit v rámci limitované edice telefony podporující NFC s předinstalovanou aplikací Plzeňská karta v prodejnách O2 v Plzni buď jako samostatný přístroj za zvýhodněnou cenu v rámci aktivace tarifu nebo jako sadu s předplacenou kartou O2. Např. telefon Nokia 6212 za dotovanou cenu 495,- Kč nebo nedotovaný za 4.500,- Kč (ceny platily k 21. 05. 2010). V současnosti se testuje mobilní telefon Samsung Star II NFC, další moţností je telefon Samsung Galaxy Nexus, který má technologii NFC a aplikace Plzeňská karta se dodatečně doinstaluje (základní cena počátkem roku 2012 činila 13.500,- Kč). NFC chtějí dopravní podniky vyuţívat i pro vzdálené dobíjení elektronické peněţenky, doručování a ověření časového předplatného. Novou technologii uţ také vyuţívají revizoři v MHD, ke kontrole jim postačí pouze mobilní telefon. Plzeňský dopravní podnik chce 44
Zdroj: Čt 24 [on-line], Mobilní čipová karta nahradí v Plzni peněţenku i jízdenky, [cit. 2012-01-20]. Dostupný z WWW: < http://www.ceskatelevize.cz/ct24/regiony/152708-mobilni-cipova-karta-nahradi-vplzni-penezenku-i-jizdenky/>. 55
v budoucnu NFC také vyuţít pro informace o určitém místě. Např. určitý tag přepne mobilní telefon na webové stránky s informacemi o určitém místě nebo s jízdním řádem45. Tyto tagy by měly být v ČR unikátem. Plzeňská karta je součástí O2 SIM karty. Současný pilotní provoz zahrnuje a testuje kombinované uloţení Plzeňské karty a bezkontaktní platební karty do jednoho NFC mobilního telefonu. Nová karta by měla mít lepší zabezpečení proti zneuţití. Z toho plynou následující výhody: Pro klienta Pohodlnost (vše je v jednom mobilu, dálkové doručování sluţeb, integrace všech sluţeb do mobilu, potvrzení v reálném čase a vyšší bezpečnost) Pro poskytovatele Úspora nákladů (odpadá nutnost fyzických karet, levnější terminály POS-NFC telefon slouţí zároveň jako validátor, čtečka a POS terminál) Spojení s klienty (zasílání voucherů a věrnostních programů)
8.3 Bratislavská městská karta Spojuje výhody několika městských karet, mimo jiné kupón na MHD, slevy v městských organizacích, průkaz do knihovny apod. Více neţ 13 000 občanů Bratislavy jiţ projevilo zájem o Bratislavskou městskou kartu. Slovenské banky tuto kartu akceptují a vydávají ji k běţným účtům na 3 roky bezplatně. Díky spolupráci slovenských bank a společnosti MasterCard (bezkontaktní technologie MasterCard PayPass) plní tato karta i funkce běţné platební karty včetně pouţití při mezinárodním platebním styku46.
45
Zdroj: Čt 24 [on-line], Mobilní čipová karta nahradí v Plzni peněţenku i jízdenky, [cit. 2012-01-20]. Dostupný z WWW: < http://www.ceskatelevize.cz/ct24/regiony/152708-mobilni-cipova-karta-nahradi-vplzni-penezenku-i-jizdenky/>. 46 Zdroj: Magazín Sdruţení pro bankovní karty [on-line], č 1/2011. Dostupný z WWW: . 56
8.4 Zhodnocení hypotézy Bezkontaktní technologie jsou procesem vědecko-technického vývoje nebo důsledkem současné komerce? Na příkladu pouţití těchto multifunkčních bezkontaktních karet je nejlépe vidět, ţe bezkontaktní technologie jsou procesem jak vědecko-technickým tak i důsledkem současné komerce. Komerce všemoţně podporuje i financuje vědecko-technický vývoj, na jehoţ základě se rozšiřují sluţby a zvyšuje se rychlost a mnoţství plateb a tím se zvyšuje i profit společností i obchodníků. Vědecko-technický vývoj působí na komerci, která jeho vyuţitím získává nové zákazníky. Pro samotné klienty z toho plynou různé výhody, mezi ně patří pohodlnost při bezkontaktním placení v menších částkách a pro poskytovatele to znamená jednoduchost při příjmu plateb a úsporu nákladů spojených s drobnou hotovostí. Při letních olympijských hrách v Londýně (2012) společnosti Samsung a Visa vyuţijí nejnovější technologii s NFC a platební technologie VISA při bezkontaktních platbách pomocí speciálního mobilního telefonu. Při této příleţitosti uvedené společnosti a lídři v oblasti technologií a inovací představí své produkty. Uskuteční se zde první testování bezkontaktní technologie v oblasti plateb na mezinárodní úrovni. Současně to z největší pravděpodobností bude znamenat i značný finanční přínos pro obě zmíněné společnosti.
57
9. Analýza současné právní úpravy platebního styku z hlediska bezkontaktních technologií Současná právní úprava platebního styku z hlediska bezkontaktních technologií se opoţďuje za současným platebním trendem. Naše zákonodárství nedostatečně ochraňuje občana před podvodníky. Zákonodárci se ani příliš nesnaţí eliminovat právní mezery některých skutkových podstat trestných činů v této oblasti. Majetkové trestné činy řeší trestní zákoník.
9.1 Právní úpravy v ČR (trestné činy hospodářské) Podle nového trestního zákoníku, který nabyl účinnosti dne 1. 1. 2010, dochází k rozdílnému vymezení i začlenění některých skutkových podstat oproti dřívější právní úpravě. Jednou z nich je ustanovení § 234 (hlava VI – trestné činy hospodářské) upravující neoprávněné opatření, padělání a pozměnění platebního prostředku, jeţ zahrnuje dřívější úpravu trestného činu hospodářského a trestného činu proti majetku. Zavádí novou skutkovou podstatu a to v souladu s Rámcovým rozhodnutím Rady Evropské unie číslo 2001/412/SW o potírání podvodů a padělání bezhotovostních platebních prostředků. Pod tímto ustanovením nalezneme spojení dvou ustanovení platné úpravy, a to trestného činu neoprávněného drţení platební karty podle § 249b trestního zákona č. 140/1961 Sb. o padělání a rozměňování peněz podle § 140 trestního zákona č 140/1961 Sb. Nová skutková podstata nahrazuje dosavadní pojem “neoprávněné opatření” pojmem “bez souhlasu oprávněného drţitele”. Neoprávněné opatření platební prostředku rozdílně od původního drţení platební karty, poskytuje ochranu všem platebním prostředkům, nikoliv jen platební kartě a předmětu způsobilému plnit její funkci. Platebním prostředkem je především nepřenosná platební karta identifikovaná podle jména nebo čísla, elektronické peníze, příkaz k zúčtování, cestovní šek, nebo záruční šeková karta. Ustanovení § 234 nového trestního zákoníku, postihuje i další jednání pachatele, kterými je zpřístupnění, přijetí a přechovávání platebního prostředku jiné osoby. Trestněprávním postihem zpřístupněním platebního prostředku zákonodárce vyřešil ochranu podvodně
58
odcizených platebních karet a jejich následnému prodeji na internetu. Zpřístupnit platební prostředek ve smyslu § 234 lze totiţ učinit i v jeho elektronické podobě.47 Přijetí platebního prostředku, zahrnuje úmyslné převzetí např. prodavače, který vědomě akceptuje kartu neoprávněného drţitele. Přechovávání platebního prostředku je ekvivalentem neoprávněného drţení platební karty. Padělaným platebním prostředkem se rozumí vyhotovená napodobenina platebního prostředku. Trestní sazba v novém zákoníku je oproti starému mírně sníţená. Pachateli tohoto trestného činu hrozí trest odnětí svobody aţ na dva roky, zákaz činnosti nebo propadnutí věci nebo jiné majetkové hodnoty. V novém trestním zákoníku patří mezi trestný čin i odcizení přístupových údajů k bankovním účtům a jejich následný prodej přes internet třetím osobám. Jde zejména o trestnou činnost phishigu, skimmingu a pharmingu (podvodné webové stránky).
9.2 Právní úpravy ve světě Slovensko Slovenská trestně právní úprava zákona č. 300/2005 je platná od 1. 1. 2006. Slovenský trestní řád je podobný našemu, řadí skutkovou podstatu trestného činu neoprávněné výroby peněţ a cenných papírů mezi hospodářské trestné činy, ale neoprávněnou výrobu elektronického platebního prostředku kvalifikuje jako majetkový trestní čin. Německo Německá právní úprava je podobná slovenské. Německý trestní zákoník neposkytuje ochranu všem bezhotovostním prostředkům, ale pouze platebním kartám. Trestnou činnost se nepodaří nikdy zcela potlačit. Snahu o její eliminaci zajišťují různá bezpečnostní opatření, která se dříve nebo později podaří prolomit. Je tedy povinností zákonodárců upravit dostatečně zákonná ustanovení a eliminovat právní mezery některých skutkových podstat trestních činů, díky kterým by pachatelé mohli svoji trestnou činnost provozovat beztrestně.
47
Zdroj: Trestní zákoník CZ [On-line], Hlava šestá – část druhá (zvláštní část), [Cit. 2012-01-20]. Dostupný z WWW: . 59
9.3 Popis legislativy pro oblast podvodů v oblasti platebního styku v ČR K harmonizaci právního řádu České republiky s právem Evropského společenství došlo jiţ k 1. 5. 2004 tj. ke dni vstupu ČR do EU. V souladu s poţadavky EU na ochranu spotřebitele a před podvodným jednáním byla, mimo jiné, zřízena kancelář finančního arbitra. Finanční arbitr je fyzická osoba a byl zřízen za účelem ochrany spotřebitele zákonem č. 229/2002 Sb., o finančním arbitrovi. Ochrana spotřebitele je pevnou součástí hospodářské politiky států s rozvinutou trţní ekonomikou. Řízení před finančním arbitrem lze vymezit jako proces rozhodování sporu, v němţ neutrální třetí strana, arbitr, vystupuje jako rozhodčí orgán. Řízení před finančním arbitrem je upraveno zmiňovaným zákonem o finančním arbitrovi a správním řádem č. 500/2004 Sb., ve znění pozdějšího předpisu. V souvislosti s právní úpravou týkající se platebního styku, je třeba uvést i některé zákony a paragrafy. Zákon č. 229/2002 včetně evropských předpisů upravuje bezhotovostní platební styk v ČR. Trestní zákon č. 140/1961 Sb. včetně pozdějších předpisů se zabývá poskytováním ochrany cizozemským bezhotovostním platebním prostředkům § 140, § 141 a § 142. § 140 Padělání a pozměňování peněz § 141 Udávání padělaných a pozměněných peněz § 142 Výroba a drţení padělatelského náčiní § 249b Neoprávněné drţení platební karty: „Kdo si neoprávněně opatří nepřenosnou platební kartu jiného, identifikovatelnou podle jména nebo čísla, nebo předmět způsobilý plnit její funkci, bude potrestán odnětím svobody aţ na dvě léta, nebo peněţitým trestem nebo propadnutím věci nebo jiné majetkové hodnoty.“ Zákon č. 124/2002 Sb. Obchodního zákoníku se zabývá převody peněţních prostředků, elektronickými platebními prostředky a platebními systémy (zákon o platebním styku)48. Tento zákon zapracovává příslušné předpisy Evropských společenství (např. Směrnice Evropského parlamentu a Rady 2006/48/ES ze dne 14. června 2006, týkající se přístupu k činnosti úvěrových institucí a o jejím výkonu) a upravuje:
48
Zdroj: F. Kulfa, P. Scholz. Podvody v oblasti bezhotovostních plateb v ČR (studie), 1 vydání. 2009, s 14
60
a) provádění převodů peněţních prostředků na území České republiky v české měně a provádění přeshraničních převodů (§ 2 odst. 2), b) vydávání a uţívání elektronických platebních prostředků, c) vznik a provozování platebních systémů v jakékoli měně a práva a povinnosti jejich účastníků, jestliţe se tito účastníci dohodli, ţe se tyto platební systémy řídí právním řádem České republiky, a dále některé povinnosti účastníků platebních systémů provozovaných podle právního řádu některého z členských států Evropské unie a dalších států tvořících Evropský hospodářský prostor. Do znění § 18 pak je zapracován čl. 8 Směrnice Evropského parlamentu a Rady 97/7/ES ze dne 20. května 1997, o ochraně spotřebitele v případě smluv uzavřených na dálku: „Uţití elektronického platebního prostředku na dálku jestliţe bylo uţito elektronického platebního prostředku, a) aniţ byl fyzicky předloţen, nebo b) bez identifikace drţitele osobním identifikačním číslem nebo bez identifikace jiným způsobem, neumoţňuje-li podstata elektronického platebního prostředku jeho fyzické předloţení, a prohlásí-li drţitel, ţe tento elektronický platební prostředek neuţil, má právo poţadovat od vydavatele neprodlené vrácení peněţních prostředků odčerpaných takovýmto uţitím elektronického platebního prostředku.“
61
Závěr V teoretické části své práce jsem se zabýval bezkontaktními technologiemi a vědeckotechnickým vývojem, zvláště pak RFID a NFC – bezkontaktními technologiemi, mobilní komercí, která vyuţívá těchto technologií a platebními kartami, které se v současnosti pouţívají dle provedení a typu technologie. Dále jsem se zabýval problematikou kryptografických algoritmů, které se pouţívají pro ochranu bezkontaktních technologií. Poukázal jsem na nové technologie a predikci jejich vyuţití v budoucnu. Dále jsem zanalyzovat současné právní úpravy platebního styku z hlediska bezkontaktních technologií. Cílem diplomové práce bylo ověřit hypotézu, zda jsou bezkontaktní technologie procesem vědecko-technického vývoje nebo jsou důsledkem současné komerce. Mohu konstatovat, ţe bezkontaktní technologie jsou procesem vědecko-technického vývoje, ale i důsledkem současné komerce. Pro ověření této hypotézy jsem si vybral multifunkční bezkontaktní karty. Věda a technika během posledních deseti let značně pokročila. Nové vynálezy, ale i technické inovace, mezi něţ patří i pouţívání bezdrátových (bezdotykových) technologií pro přenos informací se staly běţnou součástí našeho kaţdodenního ţivota. Téměř kaţdý z nás vlastní jedno či více zařízení, s nimiţ lze na menší či větší vzdálenost komunikovat. Bezkontaktní technologie lze pouţít v mnoha oblastech, kde je kladen důraz na rychlé a přesné zpracování informací a okamţitý přenos načtených dat k následnému zpracování. Tyto technologie se stále vyvíjejí a dochází k jejich uplatnění v oblasti trhu, bankovnictví, v logistice, střeţení objektů, k evidenci osob, ve zdravotnictví k identifikaci pacientů a léků atd. Poloţme si otázku, jsou technologie RFID a NFC v současnosti přínosem pro společnost? Je těţké jednoznačně odpovědět. Technická inovace v tomto oboru znamená jistě přínos, ulehčení práce a zjednodušení např. platebního styku, avšak na druhé straně nás RFID technologie zbavují soukromí (odposlechy, modifikace různých dat v důsledku nedostatečné právní ochrany občana apod.), dokonce ohroţují naše zdraví a ničí přírodu (např. WI-FI technologie – radiační rizika aj.).
62
Jaký trend je dnes patrný v oblasti bezkontaktní platební technologie v nabídce sluţeb mobilních operátorů a chování bankovních ústavů v ČR? Vzhledem k tomu, ţe bezkontaktní platební technologie nejsou dostatečně chráněny před zneuţitím podvodníky jak po stránce technologické tak i stránce právní, je trend v ČR spíše konzervativní. Ostatní země v EU (Velká Británie, Francie, Polsko, Itálie, Slovensko) tuto platební technologii uţ vyuţívají. Vývoj bezdrátových technologií reaguje na potřebu efektivního podnikání, kde mobilita, bezpečnost, konektivita, flexibilita, pohodlí a sluţby pro zákazníky jsou klíčovými prvky pro úspěšné podnikání – tedy pro obchodní společnosti, pohostinství, rozváţkové sluţby, placení mýtného apod. Zavedení bezkontaktních čipů, čteček a terminálů je však finančně nákladná záleţitost, ale do budoucna by se měla tato investice investorům rychle vrátit. Náklady na údrţbu budou minimální, protoţe nebude docházek k fyzickému opotřebení. Na přelomu 3 tisíciletí se začaly bezdrátové technologie pouţívat k běţným přenosům mezi jednotlivými uţivatelskými PC a tento trend byl o pár let později ještě umocněn masivním rozmachem pouţívání přenosných počítačů (notebooky, PDA apod.). V této době vznikaly technologie Bluetooth a WIFI, které mají umoţnit bezdrátové přenosy na relativně krátké vzdálenosti. Znamená kryptografie dostatečnou ochranu pro NFC a RFID technologie? Kryptografie není dostatečnou ochranou pro tyto technologie a má mnoho slabin, které mohou být zneuţity. Úplná ochrana dnes neexistuje. Proč podporuje komerce vědecko-technický vývoj? Komerce na základě nových technologií rozšiřuje další sluţby, zvyšuje rychlost a mnoţství plateb, zvyšuje profit společností a obchodníků. Jak působí vědecko-technický vývoj na komerci? Vědecko-technický vývoj prostřednictvím nových technologií a inovací získává nové zákazníky pro komerci. Zákazníky lákají různé výhody, pohodlnost a nakonec i nový design výrobků. Vývoj bezdrátových technologií reaguje na potřebu efektivního podnikání, kde mobilita, bezpečnost, konektivita, flexibilita jsou základními prvky pro úspěšné podnikání.
63
Co lze očekávat od mobilních plateb v ČR v roce 2012? Bezkontaktní platby v ČR se staly realitou. V únoru 2012 Komerční banka, a.s. (KB) spustila bezkontaktní mobilní platby. KB společně s Citibank Europe, společnostmi Globus ČR, VISA Europe a Telefónika Czech Republic tyto platby otestovaly v pilotním projektu. Průzkum potvrdil, ţe klienti budou dávat přednost platbě mobilem před platební kartou. Bezkontaktní mobilní platby zprovozní KB zatím pro telefony Iphone 4 a Iphone 4 S (s NFC technologií) a bude se s nimi platit tam, kde jsou akceptovány bezkontaktní karty VISA. Zákazník si bude muset na telefon připevnit rámeček iCarte od společnosti Wireless Dynamics a stáhnout si z App store aplikaci VISA Mobile pro iCarte App. Rámeček iCarte obsahuje anténu a integrovaný zabezpečující systém Secure Element, v němţ je mobilní karta uloţena. Po aktivaci mobilní karty Visa mohou spotřebitelé začít nakupovat jednoduše tak, ţe spustí aplikaci a přiloţí svůj přístroj iPhone k jakémukoliv platebnímu terminálu v Evropě, který akceptuje bezkontaktní karty. Prostřednictvím telefonu půjde tímto způsobem platit i na internetu. Česká spořitelna chce od července 2012 také tyto platby provozovat s tím rozdílem, ţe umoţní pouţít bezkontaktní mobilní platby na všech mobilních telefonech vybavených NFC technologií a to bez pouţití dodatečných zařízení. Masivní pouţívání bezkontaktních mobilních plateb závisí na vyřešení minimálně dvou problémů. Nové technologie budou vyţadovat finanční spoluúčast drţitele karty, mobilu s NFC. Tuto techniku si pořídí ten, kdo bude ochoten do tohoto zařízení investovat, dále ten, kdo se o tuto techniku zajímá, je zvídavý a rád si hraje. Tedy minimální část klientů. Druhým problémem bude samotná roztříštěnost projektů NFC technologie. Otázka je, zda je lepší mít mobilní telefon, který má v sobě NFC anténu nebo raději vyrobit SIM kartu s NFC? Zatímco u bezkontaktních karet je vztah karetní společnost – banka – výrobce karet, u NFC ještě vstupují do tohoto procesu další dva subjekty, mobilní operátoři a výrobci telefonů, výrobci sim a paměťových karet. Tyto zájmové skupiny jsou na tomto projektu zainteresovány finančně. Zda zvítězí NFC nebo něco jiného není podstatné, vyhraje ten, kdo mobilní platby zavede masově. Rychlost rozšíření NFC plateb bude záviset na několika faktorech. Bude nutná podpora ze strany bankovních subjektů, tam jistě nebude problém, protoţe banky budou chtít svým klientům prodat novou sluţbu a vydat více karet. Dále pak bude nutné rozšířit mnoţství míst, kde bude moţné pomocí NFC zaplatit. Ani zde nepředpokládám problém, protoţe obchodníci rádi nabídnou svým zákazníkům nový způsob platby. Co však
64
bude mít na rozšíření NFC plateb daleko větší vliv, je ochota zákazníků tuto novou moţnost vyuţívat. Kde se bude u nás platit bezkontaktně? Klienti tuto formu placení mohou pouţít v sítí prodejen Baumax, v praţských prodejnách Kauflandu, Spar ČOS, Cinema City, v lékárnách Dr. Max. Česká spořitelna bude zavádět bezkontaktní terminály ještě v prodejnách Penny market, Billa, Obi, Kika, Datart atd. Jak bude vypadat vývoj bezkontaktních technologií v oblasti bankovnictví v budoucnu? Vývoj se bude ubírat směrem k miniaturizaci, umisťování platebních zařízení do hodinek, prstenů či mobilních telefonů. Věřím, ţe bezkontaktní technologie povedou k větší spokojenosti bankovních klientů a ostatních uţivatelů a budou znamenat větší profit nejen pro banky, ale i pro obchodníky na celém světě.
65
Seznam pouţité literatury: JUŘÍK, P.: Velká Encyklopedie platebních karet – 1870 - 2006, 1. vydání, Praha: Grada Publishing,a.s., 2006. 296 s. ISBN 80-247-1381-0 Kern Ch. "Radio-frequency-identification for security and media circulation in libraries", Electronic Library, The, Vol. 22 Iss: 4, strana 317 – 324 ROUSSOS G.: Networked RFID Systems, Software and Services; 2008; Springer Verlag London Limited; ISBN 978-1-84800-152-7 BASL, J.; POUR J. Informační společnost a ICT., In KADEŘÁBKOVÁ, A. a kol. Ročenka konkurenceschopnosti České republiky – analýza. Praha: Linde, 2006, s. 208221. ISBN 80-86131-66-1 KRHOVJÁK J.; LORENC V. Bezpečnost bezdrátových technologií. Zpravodaj ÚVT MU. ISSN 1212-0901, 2009, roč. XX, č. 1, s. 1-9.
Internetové zdroje: www.cardmag.cz v oficiální stránky magazínu o platebních kartách www.muni.cz/ics/ – stránky Masarykovy univerzity – Ústav výpočetní techniky www.rfidjournal.com v stránky zasvěcené RFID technologii www.nfc-forum.org – oficiální stránky NFC fóra www.emeraldinsight.com – on-line knihovna www.computerworld.cz – technologický internetový magazín www.internetprovsechny.cz – internetový magazín o internetu www.csas.cz – oficiální stránky České spořitelny www.securityworld.cz – magazín o počítačové bezpečnosti www.cardmag.cardzone.cz – internetový magazín o platebních kartách www.profit.cz – podnikatelský týdeník www.cleverandsmart.cz – magazín o IT www.datakon.cz/ - stránky české prestiţní konference zaměřené na technologii www.ceskatelevize.cz - oficiální stránky ČT http://trestnizakonik.cz – stránky o trestním zákoníku www.gizmag.com – internetový magazín o technologii http://www.wholesalemerchantprocessing.com – stránky o platebních terminálech http://www.cosic.esat.kuleuven.be – stránky o bezpečnosti počítačů a obchodní kryptografii (podstránky Belgické katolické univerzity LEUVEN)
66
Seznam tabulek: Tabulka č. 1 - Základní parametry bezkontaktní Pardubické karty................................. 54 Seznam grafů: Graf č. 1 - Podíl bezdrátových modemů na přenosu dat ..................................................... 22 Seznam mapek: Mapka č. 1 ............................................................................................................................... 28
67
Přílohy Příloha č. 1 Princip fungování pasivního RFID obrázek č. 1
68
Příloha č. 2 Bezkontaktní platební karta s integrovanou klávesnicí pro zadávání PIN a displejem. Obrázek č. 1
Zdroj: http://www.gizmag.com/emue-credit-card-visa-fraud/13374/picture/105352/ (zahraniční on-line magazín o kreditních kartách a nových bankovních technologií). Visa PayWave v akci Obrázek č. 2
Zdroj: http://www.gizmag.com/emue-credit-card-visa-fraud/13374/picture/105352/ (zahraniční on-line magazín o kreditních kartách a nových bankovních technologií).
69
Příloha č. 3 Platební karta s integrovanou autentizaci Obrázek č. 1
Zdroj: http://www.gizmag.com/go/8231/picture/39160/ (zahraniční on-line magazín o kreditních kartách a nových bankovních technologií). Bezkontaktní platební zařízení od společnosti Visa integrované v přívěšku od klíčů (Visa micro tag) Obrázek č. 2
Zdroj: http://www.gizmag.com/go/8125/ (zahraniční on-line magazín o kreditních kartách a nových bankovních technologií).
70
Příloha č. 4 Klíčenka která umoţňuje pouţívání NFC technologie i na mobilních telefonech bez této technologie Obrázek č. 1
Zdroj: http://www.gizmag.com/nfc-key-fob/17881/picture/130256/ (zahraniční on-line magazín o kreditních kartách a nových bankovních technologií).
Zařízení k zadávání PIN (PIN pad) Obrázek č. 2
Zdroj: http://www.wholesalemerchantprocessing.com/hypercompinpadscontactless.html
71
72
73
