Платежные карты: Бизнес-энциклопедия

• FRS (Fraud Reporting System). Программа позволяет отслеживать информацию о мошеннических транзакциях, выявлять источники мошенничества и уменьшать риски банков-участников (как эмитентов, так и эквайреров) МПС VISA.

• RIS (Risk Identification Service). Это служба идентификации рисков, предупреждающая банк эквайрер о подозрительной или мошеннической активности обслуживаемой им торговой точки.

• NMAS (National Merchant Alert Service). Национальная служба оповещения об отключенных торговых точках, предоставляет эквайрерам доступ к информации о торговых точках, которые были уличены в мошеннической деятельности другими участниками МПС VISA.

MasterCard

• SAFE (System to Avoid Fraud Effectively). Программа позволяет отслеживать информацию о мошеннических транзакциях, выявлять источники мошенничества и уменьшать риски банков-участников (как эмитентов, так и эквайреров) МПС MasterCard.

• RAMP (Risk Assessment Management Program). Программа предназначена для проверки участников на соответствие требованиям и рекомендациям платежной системы по безопасной обработке транзакций и контролю рисков. Программа включает в себя обязательные и дополнительные проверки участников персоналом МПС.

• MATCH (Member Alert to Control High-Risk). Это система оповещения членов платежной системы по управлению рисками в торговых предприятиях. Банки-эквайреры используют систему для доступа к базе данных по мошенническим или скомпрометировавшим себя торговым точкам и их владельцам.

Для разработки повышенных требований к обеспечению безопасности данных о платежных картах был создан специальный Совет стандартов безопасности индустрии платежных карт (Payment Card Industry Security Standards Council), в который вошли American Express, Discover Financial Services, JCB, MasterCard Worldwide, Visa International. Стандарт PCI DSS vl.1 определяет требования безопасности для защиты информации, относящейся к платежной карте и должен использоваться тогда, когда номер карты хранится, обрабатывается или передается. Стандарт устанавливает требования по следующим шести категориям:

• построение и обеспечение безопасности сети;

• защита данных о держателях карт;

• обеспечение программы менеджмента уязвимостей;

• реализация строгих механизмов контроля доступа;

• регулярный мониторинг и тестирование сетей;

• обеспечение политики информационной безопасности.

Всего определяется двенадцать основных требований по всем категориям:

• установить и поддерживать конфигурацию межсетевого экранирования;

• не использовать пароли и другие параметры безопасности, определяемые поставщиками по умолчанию;

• защищать хранимую информацию;

• шифровать передаваемые данные о держателях карт по открытым каналам;

• использовать и регулярно обновлять антивирусное программное обеспечение;

• разрабатывать и поддерживать безопасные системы и приложения;

• ограничивать доступ к данным на основе принципа необходимого знания;

• назначить уникальный идентификатор каждому субъекту доступа к информации;

• ограничить физический доступ к данным о держателях карт;

• осуществлять мониторинг доступа к сетевым ресурсам и данным о держателях карт;

• регулярно тестировать системы и процессы безопасности;

• поддерживать политику информационной безопасности.

В настоящее время указанный стандарт обязателен для процессинговых центров, в дальнейшем его требования будут распространяться на всех участников платежных систем.

Риски банка, связанные с мошенничеством

Для определения влияния мошеннических операций в ПС банка на бизнес банка необходимо оценить следующие риски:

• финансовый. Результатом проведения мошеннических операций чаще всего являются финансовые потери банка или его клиентов. В последнем случае необходимо учитывать риск потери клиента, если тот перестанет доверять сервисам, предоставляемым банком;

• репутационный. Репутации банка может быть нанесен ущерб, если предоставляемые им сервисы будут являться (или казаться) небезопасными, а принимаемые защитные меры неэффективными. Следует учитывать мнение о банке в области противодействия мошенничеству в СМИ, среди других банков, МПС, правоохранительных органов и даже мошенников.

• непрерывности бизнеса. Мошеннические операции в эквайринговой сети банка могут привести к временному прерывания бизнеса в ТСП с высоким уровнем мошенничества (в том числе как результат санкций МПС). В отношении эмиссии банк рискует потерять клиентов, которые из-за мошенничества или ввиду жестких мер по ограничению операций с банковскими картами могут вовсе отказаться от услуг банка.

Сбор статистики — необходимый процесс для оценки рисков

Необходимым предварительным условием начала работ по управлению рисками в ПС банка является сбор первоначальной статистики по реализованным инцидентам информационной безопасности, эффективности применяемых в настоящий момент мер. Вообще сбор статистических данных должен являться постоянно осуществляемым непрерывным процессом.

Далее перечислены величины, расчет которых необходим для оценки рисков и эффективности принимаемых мер.

Эмиссия

1. Годовые и квартальные финансовые потери от мошенничества по эмиссии — общие, в расчете на одну карту, одну транзакцию, единицу валюты транзакции, по типам мошенничества, по регионам.

2. Число мошеннических операций — общее, по типам продуктов, по регионам.

3. Средняя сумма остатков на карточных счетах — общая, по типам продуктов.

4. Статистические профили держателей карт.

5. Статистика по использованию сервиса управления картой через мобильный телефон — SMS оповещение о проведенных операциях и управление лимитами и статусом карты.

6. Статистическая обработка совершенных мошеннических операций.

Эквайринг

1. Годовые и квартальные финансовые потери от мошенничества — общие, в расчете на один терминал, одну транзакцию, единицу валюты транзакции, по категориям ТСП, по регионам.

2. Число мошеннических операций — общее, по категориям ТСП, по регионам.

3. Оборот в эквайринговой сети — общий, по категориям ТСП, по регионам.

4. Статистические профили ТСП.

5. Статистическая обработка совершенных мошеннических операций.

Оценка рисков

Обязательные требования МПС

Банк как участник МПС обязан выполнять перечень процедур для контроля мошенничества. Невыполнение установленных требований приводит к штрафам, подрыву репутации банка и, в худшем случае, к отзыву лицензии участника МПС.

VISA определяет следующие нарушения, за которые предусмотрены санкции:

1. Превышение уровня мошенничества по ТСП. Торгово-сервисная компания попадает в Глобальную программу мониторинга опротестований по торговцам (Global Merchant Chargeback Monitoring Programme), если любая из ее точек достигает или превышает все следующие месячные лимиты для международных транзакций:

• 200 опротестований;

• 200 транзакций;