Платежные карты: Бизнес-энциклопедия

информационная безопасность организации банковской системы Российской Федерации есть состояние защищенности интересов (целей) организации банковской системы в условиях угроз в информационной сфере. Защищенность достигается обеспечением совокупности свойств информационной безопасности — конфиденциальностью, целостностью, доступностью информационных активов для интересов (целей) организации. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.

Платежная система банка (ПС) — система обмена транзакциями и взаиморасчетов (клиринга), организованная банком на основе платежных карт. В соответствии с Положением ЦБ РФ № 266-П банк может являться как эмитентом или эквайрером, так одновременно эквайрером и эмитентом. Для полноты далее будем рассматривать банк, осуществляющий деятельность по обоим обозначенным направлениям.

Платежная система представляет собой банковский технологический процесс — технологический процесс, содержащий операции по изменению и (или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг. Реализация угроз данному технологическому процессу может принести ущерб как финансовый, так и репутационный, а, значит, в отношении указанных рисков необходимо предпринимать меры по их менеджменту.

Обеспечение информационной безопасности ПС должно соответствовать принципу комплексности. Под комплексностью вообще понимается как решение в рамках единой концепции двух и более разноплановых задач (целевая комплексность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или и то и другое (всеобщая комплексность). В смысле обеспечения информационной безопасности далее будем, говоря о комплексности, иметь в виду всеобщую комплексность.

Далее мы будем рассматривать информационную безопасность ПС только с точки зрения злоумышленных воздействий, направленных на несанкционированное использование платежной карты в ПС.

С точки зрения банка, осуществляющего деятельность по эмиссии и эквайрингу одновременно, возможно несанкционированное использование банковских карт, эмитированных самим банком, и платежных карт в эквайринговой сети банка. Поскольку рассматривается информационная безопасность банков, то аспекты обеспечения безопасности небанковских продуктов, таких как карты American Express, мы также выводим за границы рассмотрения.

Будем исследовать информационную безопасность ПС банка одновременно в части эмиссии и эквайринга.

Мошенничество с банковскими картами

Банковская карта является видом платежных карт как инструмент безналичных расчетов, предназначенный для совершения физическими лицами, в том числе уполномоченными юридическими лицами, операций с денежными средствами, находящимися у банка-эмитента. Если злоумышленник получает саму карту, ее данные или реквизиты, подделывает ее, то он имеет возможность совершать мошеннические операции со счетом в банке, средством доступа к которому является данная карта. Мошеннической операции (с точки зрения банка, а не уголовного законодательства) дадим следующее определение.

Мошенническая операция — это операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Классификация видов мошенничества:

утерянные и украденные карты (lost and stolen cards);

• неполученные карты (never-received-issue — NRI);

• поддельные карты(counterfeit cards);

• карта не присутствует (card not present);

• несанкционированное использование персональных данных держателя карты и информации по счету (Card ID theft — application fraud, account take-over);

• другие виды мошенничества (miscellaneous).

Основными способами компрометации банковской карты (данных магнитной полосы, реквизитов, ПИН-кода) являются:

• скимминг — несанкционированное считывание и сохранение данных с магнитной полосы карты;

• фишинг — получение у держателя карты информации о реквизитах карты и (или) ПИН-коде путем обмана (рассылка электронных писем, ссылки на мошеннические сайты и т. д.);

• установка специальных технических средств на терминальные устройства или поблизости от них с целью фиксирования вводимого держателем карты ПИН-кода;

• подглядывание реквизитов карты и (или) ПИН-кода злоумышленником;

• ненадлежащие хранение и обработка информации по транзакциям в нарушение установленных правил МПС, стандарта PCI DSS (payment card industry data security standard);

• разглашение информации со стороны работников банка.

Международная платежная система (далее — МПС) Visa сообщает о потерях банков от мошенничества в своей системе в 2005 г. в 2,2 млрд долл., во II квартале 2006 г. — 196 млн долл. Во втором квартале 2006 г. потери по эквайрингу в России составили 539 065 долл., по эмиссии — 329 867 долл.

По оценкам агентства Frost&Sullivan потери от мошенничества с банковскими картами к 2009 г. могут достигнуть 15,5 млрд долл. Кроме того, по оценкам Visa, 100 долл. прямых потерь в результате мошенничества влекут 200 долл. дополнительных косвенных потерь (запросы документов, претензионная работа, расходы на сотрудников, программное обеспечение и др.).

Постоянный рост числа операций по банковским картам сопровождается также увеличением объемов мошеннических операций и возрастанием финансовых потерь. Это обуславливает необходимость применения комплексного подхода к обеспечению безопасности платежной системы банковских карт для защиты от мошенничества.

Для противодействия мошенничеству недостаточно применить хорошее технологическое решение, необходимо соответствующим образом организовать и скоординировать работу МПС, банков, правоохранительных органов, повысить уровень осведомленности держателей карт о различных видах мошенничества. Банк со своей стороны должен руководствоваться следующими базовыми принципами:

• наличие политики обеспечения информационной безопасности и четко сформулированной стратегии в области управления рисками в ПС;

• наличие команды квалифицированных специалистов для расследования и пресечения мошенничества;

• применение современных технологических решений.

МПС VISA и MasterCard приняли стандарты мониторинга транзакций для обеспечения контроля рисков, связанных с мошенничеством:

• Visa regional operation regulations (May 2007);

• MasterCard security rules and procedures (January 2006).

Эти стандарты предусматривают контроль авторизационных и клиринговых транзакций. Однако требования не обязывают осуществлять проверки в реальном времени. Фактически, необходимо в конце дня либо в иные установленные интервалы времени подготавливать отчеты в специальном формате, принимать необходимые решения и оповещать других участников МПС о фактах мошенничества. Для обеспечения безопасности МПС созданы специальные программы.

Visa