мошенничества в область транзакций CNP. Обратной стороной медали стало увеличение числа случаев компрометации ПИН-кода при его более частом использовании. Этот пример показывает, насколько важен комплексный подход в решении вопросов обеспечения безопасности, учитывающий интересы и возможности всех участников рынка.
В то же время североамериканские эмитенты не спешат в большинстве своем мигрировать на чип, разительного удешевления EMV технологий за последнее десятилетие также не произошло. Можно с большой уверенностью говорить, что и в следующие десять лет карты с магнитной полосой, а также гибридные (с магнитной полосой и микропроцессором), не уйдут со сцены. Это означает, что вопросы безопасности карточного бизнеса для всех его участников останутся по-прежнему актуальными. Как уже говорилось, самостоятельные действия отдельно взятой кредитной организации или процессингового центра по обеспечению собственной безопасности сильно ограничены. Именно поэтому платежными системами разработаны и активно лоббируются меры, направленные на коллективную защиту всех участников индустрии безналичных платежей. Речь идет о единых стандартах платежных систем VISA Inc. и MasterCard Worldwide, определяющих требования по информационной безопасности и средства контроля за их повсеместным применением. Основной стандарт — Payment Card Industry Data Security Standard (PCI DSS), будет подробно описан в данной книге профильными специалистами. В завершение главы — обобщающий итог исходя из опыта защиты от мошенничества для банка-эмитента и банка-эквайрера.
1. Действующая политика обеспечения безопасности эмиссии карт, устанавливающая обязанности и полномочия всех задействованных в процедурах выпуска и обслуживания банковских карт подразделений банка по защите от мошенничества, распределение зон и степени их ответственности.
2. Действующие процедуры проверки клиентских заявлений на выпуск карт.
3. Действующие регламенты по безопасной транспортировке, хранению, выдаче карт и ПИН- конвертов, уничтожению невостребованных карт и ПИН-конвертов. Обеспечение условия раздельной доставки и хранения карт и ПИН-конвертов. Пересылка карт только в заблокированном от использования виде.
4. Контроль и бухгалтерский учет заготовок карт, а также изготовленных, выданных и уничтоженных карт.
5. Соответствие процедур key-management[4], персонализации карт, печати ПИН-конвертов, хранения заготовок карт требованиям и стандартам международных платежных систем.
6. Использование систем он-лайн мониторинга авторизационного трафика с возможностью анализа и принятия решения по подозрительным операциям с целью минимизации рисков (отказ в авторизации, блокировка карты, установление лимитов по операциям).
7. Использование систем мониторинга транзакционной активности по клиринговым сообщениям, в том числе сообщениям претензионного цикла, и принятие решения по подозрительным операциям с целью минимизации рисков (блокировка карты, установление лимитов по операциям).
8. Мониторинг оповещений международных платежных систем (Security bulletins, Fraud Reporting: SAFE, FRS).
9. Обязательное обучение держателей карт правилам безопасного хранения и использования карт. Бесплатное предоставление держателям карт средств самостоятельного контроля операций (смс- информирование).
10. Обязательное обучение сотрудников банка, задействованных в процедурах выпуска и обслуживания банковских карт, мерам по защите от мошенничества.
11. Перевод эмиссии на микропроцессорные карты с правилом обслуживания Chip&PIN, поддержка протокола 3D Secure на стороне эмитента.
12. Страхование рисков карточного бизнеса банка от мошенничества со стороны третьих лиц.
13. Блокировка и перевыпуск скомпрометированных карт банка.
14. Выполнение требований стандартов безопасности карточных систем PCI DSS.
1. Действующая политика обеспечения безопасности терминальной сети для обслуживания карт, устанавливающая обязанности и полномочия всех задействованных в процедурах развития и эксплуатации терминальной сети подразделений банка по защите от мошенничества, распределение зон и степени их ответственности.
2. Действующие процедуры проверки заявлений ТСП перед заключением договоров.
3. Периодическая инспекция ТСП — посещение сотрудника банка, проверка на соответствие характера деятельности ТСП заявленному в заявлении.
4. Использование систем он-лайн мониторинга авторизационного трафика с возможностью анализа и принятия решения по подозрительным операциям с целью минимизации рисков (отказ в проведении операции, блокировка терминала).
5. Использование систем мониторинга транзакционной активности по клиринговым сообщениям, в том числе сообщениям претензионного цикла, и принятие решения по подозрительным операциям с целью минимизации рисков (блокировка терминала, блокировка ТСП).
6. Организация мониторинга программной, аппаратной и коммуникационной составляющих банкоматной сети на подверженность мошенническим воздействиям.
7. Соответствие процедур key-management требованиям международных платежных систем, криптозащита информации, передаваемой через публичные коммуникационные сети.
8. Мониторинг оповещений международных платежных систем (Security bulletins, Fraud Reporting: SAFE, FRS, RIS, NMAS, MATCH).
9. Поддержание базы данных ТСП, договоры с которыми были расторгнуты или заявления на обслуживание в банке были когда-либо отклонены.
10. Поддержка протокола 3D Secure на стороне эквайрера, поддержка EMV в банкоматной и POS- терминальной сети.
11. Обязательное обучение работников ТСП правилам приема и обслуживания банковских платежных карт, стандартам безопасности международных платежных систем, выявлению и пресечению попыток использования поддельных и украденных карт. Разъяснение правовой ответственности за соучастие в мошенничестве с платежными картами, персональной ответственности работников ТСП за соблюдение правил банка и УК РФ.
12. Обязательное обучение сотрудников банка, задействованных в развитии и эксплуатации терминальной сети, мерам по защите от мошенничества.
13. Страхование рисков карточного бизнеса банка от мошенничества со стороны третьих лиц.
14. Выполнение требований стандартов безопасности карточных систем PCI DSS.
По нашим оценкам, основанным на анализе данных платежных систем, в 2009 г. потери от криминальных посягательств на финансовые средства в сфере оборота платежных карт во всем мире составили порядка 7 млрд долл. США, в то время как в 2007 г. эти потери составляли 5,8 млрд долл.
Во многих странах уделяется большое внимание данной проблеме, созданы специальные полицейские подразделения, нацеленные на борьбу с преступлениями в этой сфере. В данном разделе произведен анализ уголовного и уголовно-процессуального законодательства Российской Федерации, судебно-следственной практики, а также обобщен практический опыт структур банковской безопасности.
По данным МВД РФ, потери в сфере банковских платежных карт в 2010 г. составили всего 9 млн руб., в 2009 г. эта цифра составляла 63 млн, а в 2008 г. — 24 млн руб. Однако данные МВД РФ дают далеко не полную картину финансовых потерь. Получить же достоверные цифры потерь в сфере платежных банковских карт в Российской Федерации довольно сложно. Центральный банк такую статистику не ведет.
Дело в том, что полной информацией о фактах хищения денежных средств с банковских карт
