Чтение онлайн

Будем исследовать информационную безопасность ПС банка одновременно в части эмиссии и эквайринга.

Банковская карта является видом платежных карт как инструмент безналичных расчетов, предназначенный для совершения физическими лицами, в том числе уполномоченными юридическими лицами, операций с денежными средствами, находящимися у банка-эмитента. Если злоумышленник получает саму карту, ее данные или реквизиты, подделывает ее, то он имеет возможность совершать мошеннические операции со счетом в банке, средством доступа к которому является данная карта. Мошеннической

операции (с точки зрения банка, а не уголовного законодательства) дадим следующее определение.

Мошенническая операция — это операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Классификация видов мошенничества:

утерянные и украденные карты (lost and stolen cards);

• неполученные карты (never-received-issue — NRI);

• поддельные карты(counterfeit cards);

• карта не присутствует (card not present);

• несанкционированное использование персональных данных держателя карты и информации по счету (Card ID theft — application fraud, account take-over);

• другие виды мошенничества (miscellaneous).

Основными способами компрометации банковской карты (данных магнитной полосы, реквизитов, ПИН-кода) являются:

• скимминг — несанкционированное считывание и сохранение данных с магнитной полосы карты;

• фишинг — получение у держателя карты информации о реквизитах карты и (или) ПИН-коде путем обмана (рассылка электронных писем, ссылки на мошеннические сайты и т. д.);

• установка специальных технических средств на терминальные устройства или поблизости от них с целью фиксирования вводимого держателем карты ПИН-кода;

• подглядывание реквизитов карты и (или) ПИН-кода злоумышленником;

• ненадлежащие хранение и обработка информации по транзакциям в нарушение установленных правил МПС, стандарта PCI DSS (payment card industry data security standard);

• разглашение информации со стороны работников банка.

Международная платежная система (далее — МПС) Visa сообщает о потерях банков от мошенничества в своей системе в 2005 г. в 2,2 млрд долл., во II квартале 2006 г. — 196 млн долл. Во втором квартале 2006 г. потери по эквайрингу в России составили 539 065 долл., по эмиссии — 329 867 долл.

По оценкам агентства Frost&Sullivan потери от мошенничества с банковскими картами к 2009 г. могут достигнуть 15,5 млрд долл. Кроме того, по оценкам Visa, 100 долл. прямых потерь в результате мошенничества влекут 200 долл. дополнительных косвенных потерь (запросы документов, претензионная работа, расходы на сотрудников, программное обеспечение и др.).

Постоянный рост числа операций по банковским картам сопровождается также увеличением объемов мошеннических операций и возрастанием финансовых потерь. Это обуславливает необходимость применения комплексного подхода к обеспечению безопасности платежной системы банковских карт для защиты от мошенничества.

Для противодействия мошенничеству недостаточно применить хорошее технологическое решение, необходимо соответствующим образом организовать и скоординировать работу МПС, банков, правоохранительных органов, повысить уровень осведомленности держателей карт о различных видах мошенничества. Банк со своей стороны должен руководствоваться следующими базовыми принципами:

• наличие политики обеспечения информационной безопасности и четко сформулированной стратегии

в области управления рисками в ПС;

• наличие команды квалифицированных специалистов для расследования и пресечения мошенничества;

• применение современных технологических решений.

МПС VISA и MasterCard приняли стандарты мониторинга транзакций для обеспечения контроля рисков, связанных с мошенничеством:

• Visa regional operation regulations (May 2007);

• MasterCard security rules and procedures (January 2006).

Эти стандарты предусматривают контроль авторизационных и клиринговых транзакций. Однако требования не обязывают осуществлять проверки в реальном времени. Фактически, необходимо в конце дня либо в иные установленные интервалы времени подготавливать отчеты в специальном формате, принимать необходимые решения и оповещать других участников МПС о фактах мошенничества. Для обеспечения безопасности МПС созданы специальные программы.

Visa

• FRS (Fraud Reporting System). Программа позволяет отслеживать информацию о мошеннических транзакциях, выявлять источники мошенничества и уменьшать риски банков-участников (как эмитентов, так и эквайреров) МПС VISA.

• RIS (Risk Identification Service). Это служба идентификации рисков, предупреждающая банк эквайрер о подозрительной или мошеннической активности обслуживаемой им торговой точки.

• NMAS (National Merchant Alert Service). Национальная служба оповещения об отключенных торговых точках, предоставляет эквайрерам доступ к информации о торговых точках, которые были уличены в мошеннической деятельности другими участниками МПС VISA.

MasterCard

• SAFE (System to Avoid Fraud Effectively). Программа позволяет отслеживать информацию о мошеннических транзакциях, выявлять источники мошенничества и уменьшать риски банков-участников (как эмитентов, так и эквайреров) МПС MasterCard.

• RAMP (Risk Assessment Management Program). Программа предназначена для проверки участников на соответствие требованиям и рекомендациям платежной системы по безопасной обработке транзакций и контролю рисков. Программа включает в себя обязательные и дополнительные проверки участников персоналом МПС.

• MATCH (Member Alert to Control High-Risk). Это система оповещения членов платежной системы по управлению рисками в торговых предприятиях. Банки-эквайреры используют систему для доступа к базе данных по мошенническим или скомпрометировавшим себя торговым точкам и их владельцам.

Для разработки повышенных требований к обеспечению безопасности данных о платежных картах был создан специальный Совет стандартов безопасности индустрии платежных карт (Payment Card Industry Security Standards Council), в который вошли American Express, Discover Financial Services, JCB, MasterCard Worldwide, Visa International. Стандарт PCI DSS vl.1 определяет требования безопасности для защиты информации, относящейся к платежной карте и должен использоваться тогда, когда номер карты хранится, обрабатывается или передается. Стандарт устанавливает требования по следующим шести категориям:

• построение и обеспечение безопасности сети;

• защита данных о держателях карт;

• обеспечение программы менеджмента уязвимостей;

• реализация строгих механизмов контроля доступа;

• регулярный мониторинг и тестирование сетей;

• обеспечение политики информационной безопасности.

Всего определяется двенадцать основных требований по всем категориям:

• установить и поддерживать конфигурацию межсетевого экранирования;

• не использовать пароли и другие параметры безопасности, определяемые поставщиками по умолчанию;