Платежные карты: Бизнес-энциклопедия - Проект

Выбирайте пароли, которые не связаны с вашим днем рождения или другими персональными данными. Если возможно, выбирайте символьно-цифровые пароли. Не записывайте пароли и никому не сообщайте их.

Безопасность операций с платежными картами. Оценка рисков и мониторинг транзакций в платежной системе

В соответствии с Положением ЦБ РФ № 266-П на территории Российской Федерации кредитные организации — эмитенты осуществляют эмиссию банковских карт, являющихся видом платежных карт как инструмента безналичных расчетов, предназначенного для совершения физическими лицами, в том числе уполномоченными юридическими лицами, операций с денежными средствами, находящимися у эмитента, в соответствии с законодательством Российской Федерации и договором с эмитентом.

Кредитная организация вправе осуществлять эмиссию банковских карт следующих видов: расчетных карт, кредитных карт и предоплаченных карт. Кредитные организации — эквайреры осуществляют расчеты с организациями торговли (услуг) по операциям, совершаемым с использованием платежных карт, и (или) выдают наличные денежные средства держателям платежных карт, не являющихся клиентами указанных кредитных организаций (эквайринг). Кредитная организация вправе одновременно осуществлять эмиссию банковских карт, эквайринг платежных карт, а также распространение платежных карт. Эмиссия банковских карт, эквайринг платежных карт, а также распространение платежных карт осуществляются кредитными организациями на основании внутрибанковских правил, разработанных кредитной организацией в соответствии с законодательством Российской Федерации, нормативными актами Банка России, и правилами участников расчетов, содержащими их права, обязанности и порядок проведения расчетов между ними. Внутрибанковские правила, помимо прочего, должны содержать систему управления рисками при осуществлении операций с использованием платежных карт, включая порядок оценки кредитного риска.

Письмо Банка России от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях»[208] содержит рекомендации по управлению операционным риском в кредитных организациях.

Операционный риск — риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.

Общие положения по обеспечению информационной безопасности в организациях банковской системы РФ устанавливаются Стандартом Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»[209] (далее — Стандарт). В соответствии со Стандартом информационная безопасность организации банковской системы Российской Федерации есть состояние защищенности интересов (целей) организации банковской системы в условиях угроз в информационной сфере. Защищенность достигается обеспечением совокупности свойств информационной безопасности — конфиденциальностью, целостностью, доступностью информационных активов для интересов (целей) организации. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.

Платежная система банка (ПС) — система обмена транзакциями и взаиморасчетов (клиринга), организованная банком на основе платежных карт. В соответствии с Положением ЦБ РФ № 266-П банк может являться как эмитентом или эквайрером, так одновременно эквайрером и эмитентом. Для полноты далее будем рассматривать банк, осуществляющий деятельность по обоим обозначенным направлениям.

Платежная система представляет собой банковский технологический процесс — технологический процесс, содержащий операции по изменению и (или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг. Реализация угроз данному технологическому процессу может принести ущерб как финансовый, так и репутационный, а, значит, в отношении указанных рисков необходимо предпринимать меры по их менеджменту.

Обеспечение информационной безопасности ПС должно соответствовать принципу комплексности. Под комплексностью вообще понимается как решение в рамках единой концепции двух и более разноплановых задач (целевая комплексность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или и то и другое (всеобщая комплексность). В смысле обеспечения информационной безопасности далее будем, говоря о комплексности, иметь в виду всеобщую комплексность.

Далее мы будем рассматривать информационную безопасность ПС только с точки зрения злоумышленных воздействий, направленных на несанкционированное использование платежной карты в ПС.

С точки зрения банка, осуществляющего деятельность по эмиссии и эквайрингу одновременно, возможно несанкционированное использование банковских карт, эмитированных самим банком, и платежных карт в эквайринговой сети банка. Поскольку рассматривается информационная безопасность банков, то аспекты обеспечения безопасности небанковских продуктов, таких как карты American Express, мы также выводим за границы рассмотрения.

Будем исследовать информационную безопасность ПС банка одновременно в части эмиссии и эквайринга.

Банковская карта является видом платежных карт как инструмент безналичных расчетов, предназначенный для совершения физическими лицами, в том числе уполномоченными юридическими лицами, операций с денежными средствами, находящимися у банка-эмитента. Если злоумышленник получает саму карту, ее данные или реквизиты, подделывает ее, то он имеет возможность совершать мошеннические операции со счетом в банке, средством доступа к которому является данная карта. Мошеннической операции (с точки зрения банка, а не уголовного законодательства) дадим следующее определение.

Мошенническая операция — это операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Классификация видов мошенничества:

утерянные и украденные карты (lost and stolen cards);

• неполученные карты (never-received-issue — NRI);

• поддельные карты(counterfeit cards);

• карта не присутствует (card not present);

• несанкционированное использование персональных данных держателя карты и информации по счету (Card ID theft — application fraud, account take-over);

• другие виды мошенничества (miscellaneous).

Основными способами компрометации банковской карты (данных магнитной полосы, реквизитов, ПИН-кода) являются:

• скимминг — несанкционированное считывание и сохранение данных с магнитной полосы карты;

• фишинг — получение у держателя карты информации о реквизитах карты и (или) ПИН-коде путем обмана (рассылка электронных писем, ссылки на мошеннические сайты и т. д.);

• установка специальных технических средств на терминальные устройства или поблизости от них с целью фиксирования вводимого держателем карты ПИН-кода;

• подглядывание реквизитов карты и (или) ПИН-кода злоумышленником;

• ненадлежащие хранение и обработка информации по транзакциям в нарушение установленных правил МПС, стандарта PCI DSS (payment card industry data security standard);

• разглашение информации со стороны работников банка.

Международная платежная система (далее — МПС) Visa сообщает о потерях банков от мошенничества в своей системе в 2005 г. в 2,2 млрд долл., во II квартале 2006 г. — 196 млн долл. Во втором квартале 2006 г. потери по эквайрингу в России составили 539 065 долл., по эмиссии — 329 867 долл.

По оценкам агентства Frost&Sullivan потери от мошенничества с банковскими картами к 2009 г. могут достигнуть 15,5 млрд долл. Кроме того, по оценкам Visa, 100 долл. прямых потерь в результате мошенничества влекут 200 долл. дополнительных косвенных потерь (запросы документов, претензионная работа, расходы на сотрудников, программное обеспечение и др.).