כרטיס מגנטי הוא סוג של כרטיס שניתן לאחסן עליו נתונים על ידי שינוי המגנטיות של חלקיקים מגנטיים זעירים מבוססי ברזל המוטבעים על רצועה של חומר מגנטי על פני הכרטיס. הפס המגנטי ניתן לקריאה על ידי העברה של הכרטיס על פני הראש קריאה מגנטית. כרטיסים מגנטיים משמשים בדרך כלל בכרטיסי אשראי, כרטיסי נסיעה ועוד. הם עשויים גם להכיל תגי RFID, מכשיר transponder ו/ או שבב המשמשים בעיקר לבקרת גישה לאזורים רגישים וכאמצעי תשלום אלקטרוני.
הקלטה מגנטית על סרט פלדה פותחה בדנמרק סביב שנת 1900 לצורך הקלטת אודיו.[1] בשנות החמישים הומצא הקלטה מגנטית של נתוני מחשב דיגיטליים על קלטת פלסטיק מצופה תחמוצת ברזל. ב-1960, IBM השתמשה ברעיון הקלטת המגנטית כדי לפתח דרך אמינה להטמעת פסים מגנטיים על כרטיסי פלסטיק,[2] במסגרת חוזה למערכת אבטחה עבור ממשלת ארצות הברית. כמו כן נקבעו מספרי התקינה המגדירים את התכונות הפיזיות של הכרטיס, הגמישות, מיקום הפס המגנטי, המאפיינים המגנטיים, ותבניות הנתונים. הם גם מספקים את הסטנדרטים של כרטיסי פיננסיים, כולל הקצאת טווחי מספרים למוסדות המנפיקים כרטיסים שונים.
אחסון מגנטי פותח במהלך מלחמת העולם השנייה ואחסון נתוני מחשב פותח בשנות ה-50.[2]
בשנת 1969 הגה פורסט פארי, מהנדס יבמ, רעיון לאבטחת חתיכת סרט מגנטי, מדיום האחסון השולט באותה תקופה, על בסיס כרטיס פלסטיק. עבודתו הראשונית למציאת דבק שיקבע את הסרט המגנטי לכרטיס כשלה כיוון שכל דבק שהוא ניסה הניב תוצאות בלתי מספקות. רצועת קלטת עוותו כך שלא ניתן היה לקרוא את הנתונים שהופיעו עליהם או שהתכונות של הדבק פגעו במגנטיות של הרצועות. לאחר יום מתסכל במעבדה, כשהוא מנסה למצוא את הדבק הנכון, הוא חזר הביתה עם כמה חתיכות של סרט מגנטי וכמה כרטיסי פלסטיק. כשהסביר לאשתו את מקור התסכול שלו היא הציעה לו להשתמש במגהץ כדי להמיס את הפס. הסתבר כי החום של המגהץ התאים בדיוק כדי לקבע את הסרט המגנטי לכרטיס.[3][4]
עיקר הפיתוח של כרטיסים מגנטים העשויים מפלסטיק החל בשנת 1969 ב- IBM Information Records Division (IRD) שבסיסה בדייטון ניו ג'רזי. בשנת 1970, הועבר גם השיווק אל ה-IRD כדי להתחיל מכירה ושיווק של הכרטיסים.[5] במשך כשנתיים פיתחו מהנדסי IBM IRD תהליך אמין להטבעה של פס מגנטי על כרטיסי פלסטיק באמצעות חום, ואת אופן הקידוד של הפס המגנטי המשתמש בטכנולוגיה של ברקוד אופטי.[6][7] השימושים הראשונים של הטכנולוגיה החדשה היו כרטיסי אשראי בנקאיים וכרטיסי זהות ששימשו בנקים, חברות ביטוח, בתי החולים ורבים אחרים. תוצאה נוספת של פרויקט זה הייתה כי IBM IRD ו- IBM Data Processing Division הכריזו ב -24 בפברואר 1971 על מרכז שירות כרטיסי האשראי המגנטי הראשון ועל מסלקת האשראי הראשונה.[5] תהליך הפיתוח והבניה בוצע באזור מאובטח במתקן של יבמ IRD בדייטון, ניו ג'רזי אשר נבנה במיוחד עבור הפרויקט. רמת האבטחה הגבוהה נדרשה בגלל הרגישות של הנתונים, שישמו לצורך זיהוי של כרטיסי זהות וכרטיסי אשראי.
מהנדסי IRD פיתחו תהליך אמין של הטבעה חמה של הפס המגנטי על כרטיסי הפלסטיק. הפס המגנטי קודד עם רצועת נתונים יחידה בעזרת תבנית הברקוד האופטית של Delta Delta C[6][7] שפותחה על ידי החטיבה לפיתוח מערכות IBM.[6] קבוצת יבמ התמודדה עם RCA, ליטון-צלווגר וחברות אחרות שעבדו עם איגוד הסוחרים הקמעונאיים הלאומית האמריקנית NRMA לפיתוח ברקוד אופטי סטנדרטי שישמש בתעשייה הקמעונאית. NRMA רצתה קוד אופטי קריא שניתן להדפיס על גבי מוצרים ואריזות המאפשר לרוכשים "להעביר" את המוצרים במהירות בקופות הרושמות/ קופות האלקטרוניות החדשות שפותחו. הקוד אמור היה לשמש גם לייצור ובקרת מלאי של מוצרים. מבין שלל ברקודים אופטיים שהוגשו ל-NRMA על ידי יבמ וחברות אחרות, NRMA בחרה לבסוף בגרסה המאוחרת יותר של הברקוד של יבמ המכונה פורמט הברקוד האופטי Delta Distance D. קוד ה-Delta Distance C היה גרסה קודמת יותר של קוד המוצר האוניברסלי (UPC). קוד ה-UPC נבחר בשנת 1973 על ידי NRMA כסטנדרט שלו והפך לתקן העולמי שכולנו מכירים כיום כקוד המוצר האחיד של UPC.[8]
בכל כרטיס מגנטי מוטבעים עד שלוש רצועות המכונים רצועות 1, 2 ו-3. כאשר ברצועה השלישית כמעט ולא נעשה שימוש על ידי הרשתות הגדולות בעולם, ולעיתים קרובות הוא אפילו לא מוטבע פיזית בכרטיס על מנת ליצור פס מגנטי צר יותר. קוראי כרטיסים בנקודת מכירה קוראים כמעט תמיד רק רצועה אחת, ומשתמשים ברצועה השנייה רק במקרה שהרצועה הראשונה אינה קריאה. המידע המינימלי הנדרש להשלמת עסקה קיים בכל אחד מהרצועות. לרצועה 1 צפיפות סיביות גבוהה יותר (210 סיביות לאינץ' לעומת 75) והיא הרצועה היחידה שעשויה להכיל טקסט אלפביתי, ומכאן שהיא הרצועה היחידה שמכילה את שם בעל הכרטיס.
רצועה 1 נכתבת עם קוד המכונה DEC SIXBIT בתוספת זוגיות משונה. המידע על רצועה 1 בכרטיסים פיננסיים מקודד בכמה פורמטים: A השמורה לשימוש קנייני של מנפיק הכרטיסים; B, המתואר להלן; C-M, ששומרים לשימוש על ידי ועדת המשנה של ANSI X3B10 ו- N-Z, הזמין לשימושם של מנפיקי כרטיסים:
פורמט B:
פורמט זה פותח על ידי ענף הבנקאות (ABA). רצועה זו נכתבת בתוכנית של 5 סיביות (4 סיביות נתונים + 1) המאפשרת שישה עשר תווים אפשריים: הספרות 0–9, בתוספת ששת התווים : ; < = > ?
. הבחירה בסימני פיסוק עשויה להיראות מוזרה, אך למעשה שישה עשר הסיביות האלו ממפות את הטווח 0x30 עד 0x3f ב-ASCII, המגדיר את תווי הספרות ותוספת ששת הסמלים. פורמט הנתונים הוא כדלקמן:
ערכי קוד שירות הנפוצים בכרטיסים פיננסיים:
ספרה ראשונה
ספרה שנייה
ספרה שלישית
כרטיסים חכמים הם דור חדש יותר של כרטיסים המכילים מעגל משולב. כרטיסים אלו מאפשרים קשר בעזרת נקודות מתכת על הכרטיס המאפשרים חיבור חשמלי של הכרטיס לקורא, וכרטיסים ללא מגע המשתמשים בשדה מגנטי או בתדר רדיו (RFID) לקריאת קרבה.
כרטיסים היברידיים הכוללים פס מגנטי בנוסף לשבב - שילוב זה נפוץ במיוחד בכרטיס חיוב, כרטיסים אלו מתאימים גם למסופי תשלום שאינם כוללים תואמים לכרטיסים חכמים.
כרטיסים עם שלוש התכונות: פס מגנטי, שבב חכם ושבב RFID הופכים נפוצים כיוון שהשילוב של כל התכונות מאפשר פעולות רבות יותר.[9]
במהלך DEF CON 24, הציג ווסטון הקר אפשרות לשכפול של מפתחות מלונות ומערכות מכירה. בהרצאה, הקר תיאר את אופן הפעולה של כרטיסים מגנטיים והשתמש בתוכנות זיוף,[10] וארדואינו כדי להשיג גישה לחדרי מלון באמצעות כרטיסי החדרים של אנשי שירות העוברים לידו. הקר טוען שהוא השתמש במפתחות ניהול ממערכות קופה במערכות אחרות, בעזרתם סיפק גישה לכל מערכת עם קורא פס מגנטי, והעניק גישה לניהול פקודות מיוחדות.