Необходимо понимать, что каждый ПЦ, как и любое другое предприятие, имеет свои особенности и тонкости и, естественно, что задачи по обеспечению безопасности в том или ином предприятии имеют характерную специфику. Любому ПЦ присуща работа с персональными данными владельцев пластиковых карт, а это означает, что репутация и надежность процессингового центра целиком и полностью зависят от степени безопасности составляющих его систем. Вот поэтому так важно уделять максимум внимания для решения вопросов, связанных с обеспечением не только отказоустойчивости систем при работе в режиме 24 ? 7, но и степени защиты доверяемых процессинговому центру данных.
Приложения
Приложение 1
Судебно-следственная практика
В 2007 г. в торговых предприятиях г. Астрахани российские банки-эквайреры зафиксировали резкий рост количества незаконных операций по поддельным картам иностранных банков-эмитентов. В августе месяце при попытке расплатиться поддельной картой была задержана молодая женщина, участница преступной группы. Однако уголовное дело возбуждено не было. И только 11 октября 2007 г. по заявлению представителя одной из крупнейших в России процессинговых компаний было возбуждено уголовное дело № 7013396. В результате его расследования в качестве потерпевших были признаны четыре российских банка-эквайрера, выявлена группа лиц, осуществлявшая незаконную деятельность, состоящая из семи человек, которым были предъявлены обвинения.
Начальнику УСТМ УВД
по Астраханской области
Сообщаю Вам, что в период с 20 марта 2007 г. по 18 июля 2007 г. в магазине «Столица компьютерная», расположенном по адресу: г. Астрахань, ул. Минусинская, д. 8 (торговый терминал 701386), обслуживаемом «Г…банк» (открытое акционерное общество) (далее — Банк) на основании договора об эквайринговом обслуживании №… от 21 декабря 2004 г. между Банком и ПБОЮЛ ч. А. А., которому принадлежит магазин, неустановленными лицами совершено изготовление поддельных платежных документов, сбыт этих документов и хищение денежных средств при осуществлении операций оплаты в магазине с использованием поддельных кредитных и расчетных карт.
20 марта 2007 г. с использованием расчетной карты платежной системы VISA № 4567350002160626 были осуществлены две операции покупки: 19 050 руб. и 5470 руб. Банк-эмитент Alliance & Leicester PLC (Великобритания) занес данные операции в отчет системы отслеживания подозрительной деятельности торговых предприятий VISA Int. (FRS) как мошеннические (Приложение 4).
11 июля 2007 г. с использованием расчетной карты платежной системы MasterCard № 5416034087903445 были осуществлены пять операций покупки: 23 133 руб., 4200 руб., 32 000 руб., 35 000 руб. и 43 656 руб. Банк-эмитент GE CAPITAL BANK LIMITED (Великобритания) занес данные операции в отчет о мошеннических операциях, совершенных в торговых предприятиях, MasterCard Worldwide (SAFE) как мошеннические (Приложение 5).
18 июля 2007 г. с использованием расчетной карты платежной системы MasterCard № 5420113828910200 были осуществлены три операции покупки: 15120 руб., 15120 руб. и 6460 руб. Банк- эмитент HSBC BANK PLC (Великобритания) занес данные операции в отчет о мошеннических операциях, совершенных в торговых предприятиях, MasterCard Worldwide (SAFE) как мошеннические (Приложение 5).
Положение ЦБ РФ № 266-П регламентирует, что при совершении операций с платежными картами составляются документы на бумажном носителе и (или) в электронной форме, данные документы являются основанием для осуществления расчетов. А именно при осуществлении операций с использованием платежных карт формируются документы, являющиеся распоряжением клиента об осуществлении операций по его банковскому счету.
В приложении 20 Положения ЦБ РФ № 2-П описание поля 39 платежного ордера дано как «Шифр платежного документа» (проставляется условное цифровое обозначение (шифр) оплачиваемого расчетного документа согласно правилам ведения бухгалтерского учета в Банке России или правилам ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации). А в Положении ЦБ РФ № 205-П один из кодов данного шифра обозначен как «13 — Расчеты с применением банковских карт».
Таким образом, при расчетах с применением банковских карт формируются платежные документы. В Письме МНС России от 28 февраля 2002 г. № 03-2-06/543/24-з951 сказано, что данные платежные документы формируются в электронном виде в торговом предприятии покупателем и направляются в процессинговый центр (подразделение, осуществляющее сбор, обработку и рассылку участникам расчетов — кредитным организациям информацию по операциям с платежными картами).
Согласно п. 3.3 Положения ЦБ РФ № 266-П платежные документы должны содержать следующие обязательные реквизиты:
• идентификатор банкомата, электронного терминала или другого технического средства, предназначенного для совершения операций с использованием платежных карт;
• вид операции;
• дату совершения операции;
• сумму операции;
• валюту операции;
• сумму комиссии (если имеет место);
• код авторизации (если осуществлялась процедура авторизации);
• реквизиты платежной карты.
Документ по операциям с использованием платежной карты на бумажном носителе дополнительно должен содержать подпись держателя платежной карты.
Таким образом, платежный документ по операциям покупки в торговом предприятии с платежными картами составляется на бумажном носителе: чек торгового ПОС-терминала (или слип-импринтера) и/или в электронном виде и содержит обязательные реквизиты, указанные в Положении ЦБ РФ № 266-П.
Поддельным платежным документом может быть подлинный платежный документ, в который были внесены несанкционированные изменения, либо полностью изготовленный платежный документ, в том числе формально подлинный, от лица держателя карты, который не санкционировал или не инициировал изготовление данного документа. То есть подделать документ можно не только технически (техническая подделка), но и интеллектуально — например, когда документ составляется неверным числом, от имени другого лица, когда в документе фиксируется событие, которого не было, и др.
При совершении операции в торговом предприятии с использованием поддельной карты изготавливаются на электронном ПОС-терминале бумажная квитанция терминала (чек) и электронный платежный документ. Данные документы являются распоряжением держателя, заверенным собственноручной подписью. В случае оплаты товара поддельной или украденной картой подпись на бумажной квитанции не соответствует подписи законного держателя. Электронный платежный документ изготовлен с использованием скопированной с подлинной карты второй дорожки, он ничем не отличается от подлинного, т. е. формально правильный. Данный документ означает распоряжение законного держателя на осуществление платежа. Поскольку держатель такого распоряжения не выдавал, подпись на
