Платежные карты: Бизнес-энциклопедия
Шрифт:
• защищать хранимую информацию;
• шифровать передаваемые данные о держателях карт по открытым каналам;
• использовать и регулярно обновлять антивирусное программное обеспечение;
• разрабатывать и поддерживать безопасные системы и приложения;
• ограничивать доступ к данным на основе принципа необходимого знания;
• назначить уникальный идентификатор каждому субъекту доступа к информации;
• ограничить физический доступ к данным о держателях карт;
• осуществлять мониторинг доступа к сетевым ресурсам и данным о держателях карт;
• регулярно тестировать системы и процессы безопасности;
• поддерживать политику информационной безопасности.
В
Для определения влияния мошеннических операций в ПС банка на бизнес банка необходимо оценить следующие риски:
• финансовый. Результатом проведения мошеннических операций чаще всего являются финансовые потери банка или его клиентов. В последнем случае необходимо учитывать риск потери клиента, если тот перестанет доверять сервисам, предоставляемым банком;
• репутационный. Репутации банка может быть нанесен ущерб, если предоставляемые им сервисы будут являться (или казаться) небезопасными, а принимаемые защитные меры неэффективными. Следует учитывать мнение о банке в области противодействия мошенничеству в СМИ, среди других банков, МПС, правоохранительных органов и даже мошенников.
• непрерывности бизнеса. Мошеннические операции в эквайринговой сети банка могут привести к временному прерывания бизнеса в ТСП с высоким уровнем мошенничества (в том числе как результат санкций МПС). В отношении эмиссии банк рискует потерять клиентов, которые из-за мошенничества или ввиду жестких мер по ограничению операций с банковскими картами могут вовсе отказаться от услуг банка.
Необходимым предварительным условием начала работ по управлению рисками в ПС банка является сбор первоначальной статистики по реализованным инцидентам информационной безопасности, эффективности применяемых в настоящий момент мер. Вообще сбор статистических данных должен являться постоянно осуществляемым непрерывным процессом.
Далее перечислены величины, расчет которых необходим для оценки рисков и эффективности принимаемых мер.
Эмиссия
1. Годовые и квартальные финансовые потери от мошенничества по эмиссии — общие, в расчете на одну карту, одну транзакцию, единицу валюты транзакции, по типам мошенничества, по регионам.
2. Число мошеннических операций — общее, по типам продуктов, по регионам.
3. Средняя сумма остатков на карточных счетах — общая, по типам продуктов.
4. Статистические профили держателей карт.
5. Статистика по использованию сервиса управления картой через мобильный телефон — SMS оповещение о проведенных операциях и управление лимитами и статусом карты.
6. Статистическая обработка совершенных мошеннических операций.
Эквайринг
1. Годовые и квартальные финансовые потери от мошенничества — общие, в расчете на один терминал, одну транзакцию, единицу валюты транзакции, по категориям ТСП, по регионам.
2. Число мошеннических операций — общее, по категориям ТСП, по регионам.
3. Оборот в эквайринговой сети — общий, по категориям ТСП, по регионам.
4. Статистические профили ТСП.
5. Статистическая обработка совершенных мошеннических операций.
Обязательные требования МПС
Банк как участник МПС обязан выполнять перечень процедур для контроля мошенничества. Невыполнение установленных требований приводит к штрафам, подрыву репутации банка и, в худшем случае, к отзыву лицензии участника МПС.
VISA определяет следующие нарушения, за которые предусмотрены санкции:
1. Превышение уровня мошенничества по ТСП. Торгово-сервисная компания попадает в Глобальную программу мониторинга опротестований по торговцам (Global Merchant Chargeback Monitoring Programme), если любая из ее точек достигает или превышает все следующие месячные лимиты для международных транзакций:
• 200 опротестований;
• 200 транзакций;
• уровень опротестованных транзакций составляет 2 %.
После попадания в программу эквайрер платит по 100 долл. за каждую опротестованную транзакцию по каждому ТСП торгово-сервисной компании, попавшей в программу. Штраф может быть установлен VISA в 200 долл., если не предпринимаются меры по исправлению ситуации.
2. Несоответствие эмитента требованиям риск мониторинга. Эмитент, не соответствующий правилам мониторинга, определенным в Операционных правилах VISA по региону CEMEA раздел 2.7, в конце каждого финансового квартала будет выплачивать штраф, размер которого зависит от объема транзакций и варьируется от 6000 до 25 000 долл.
3. Несоответствие эквайрера требованиям риск мониторинга. Эквайрер, не соответствующий правилам мониторинга, определенным в Операционных правилах VISA по региону CEMEA разд. 2.6, в конце каждого финансового квартала будет выплачивать штраф, размер которого зависит от объема транзакций и варьируется от 6000 до 25 000 долл.
4. Превышение уровня мошенничества по эквайреру. К ниме относятся эквайреры, у которых квартальные потери от мошенничества превышают 50 000 долл. и уровень мошенничества выше 0,35 % (не учитываются мошеннические операции получения наличных, мошеннические операции по неполученным картам и картам, выданным по поддельным заявлениям). В течение первых четырех кварталов штраф составляет 5000 долл., за пятый, шестой и седьмой — 50 000 долл., далее Комитет CEMEA рассматривает вопрос об отзыве эквайрерской лицензии.
5. Нарушение правил обработки транзакций электронной коммерции. Если ТСП осуществляет транзакции электронной коммерции, получая данные по сети Интернет, не осуществляет необходимой обработки полей, относящихся к транзакциям электронной коммерции (electronic commerce indicator), то данное ТСП попадает в программу, а эквайрер начинает получать письменные оповещения от Visa о необходимости корректной обработки транзакций электронной коммерции.
Через четыре месяца с эквайрера взимается штраф в 5000 долл., через пять — 10 000 долл., через шесть — 25 000 долл.
6. Нарушение обработки транзакций по онлайн сервисам азартных игр (On-line gambling). Visa запрещает несоответствующее использование кредитных ваучеров для выплат выигрышей победителям и использование для сервисного предприятия, предоставляющего онлайн сервис азартных игр, следующих значений полей в транзакции: Merchant Category Code (MCC) 7995, POS condition code 59. В первом случае с эквайрера берется штраф в 50 долл. за кредит свыше 5 % от установленного порога. Во втором — 25 000 долл. за первые шесть месяцев, рассмотрение вопроса и приостановлении работы в следующие шесть месяцев, рассмотрение вопроса об отзыве лицензии после тринадцати месяцев.