Платежные карты: Бизнес-энциклопедия - Проект

Постоянный рост числа операций по банковским картам сопровождается также увеличением объемов мошеннических операций и возрастанием финансовых потерь. Это обуславливает необходимость применения комплексного подхода к обеспечению безопасности платежной системы банковских карт для защиты от мошенничества.

Для противодействия мошенничеству недостаточно применить хорошее технологическое решение, необходимо соответствующим образом организовать и скоординировать работу МПС, банков, правоохранительных органов, повысить уровень осведомленности держателей карт о различных видах мошенничества. Банк со своей стороны должен руководствоваться следующими базовыми принципами:

• наличие политики обеспечения информационной безопасности и четко сформулированной стратегии в области управления рисками в ПС;

• наличие команды квалифицированных специалистов для расследования и пресечения мошенничества;

• применение современных технологических решений.

МПС VISA и MasterCard приняли стандарты мониторинга транзакций для обеспечения контроля рисков, связанных с мошенничеством:

• Visa regional operation regulations (May 2007);

• MasterCard security rules and procedures (January 2006).

Эти стандарты предусматривают контроль авторизационных и клиринговых транзакций. Однако требования не обязывают осуществлять проверки в реальном времени. Фактически, необходимо в конце дня либо в иные установленные интервалы времени подготавливать отчеты в специальном формате, принимать необходимые решения и оповещать других участников МПС о фактах мошенничества. Для обеспечения безопасности МПС созданы специальные программы.

Visa

• FRS (Fraud Reporting System). Программа позволяет отслеживать информацию о мошеннических транзакциях, выявлять источники мошенничества и уменьшать риски банков-участников (как эмитентов, так и эквайреров) МПС VISA.

• RIS (Risk Identification Service). Это служба идентификации рисков, предупреждающая банк эквайрер о подозрительной или мошеннической активности обслуживаемой им торговой точки.

• NMAS (National Merchant Alert Service). Национальная служба оповещения об отключенных торговых точках, предоставляет эквайрерам доступ к информации о торговых точках, которые были уличены в мошеннической деятельности другими участниками МПС VISA.

MasterCard

• SAFE (System to Avoid Fraud Effectively). Программа позволяет отслеживать информацию о мошеннических транзакциях, выявлять источники мошенничества и уменьшать риски банков-участников (как эмитентов, так и эквайреров) МПС MasterCard.

• RAMP (Risk Assessment Management Program). Программа предназначена для проверки участников на соответствие требованиям и рекомендациям платежной системы по безопасной обработке транзакций и контролю рисков. Программа включает в себя обязательные и дополнительные проверки участников персоналом МПС.

• MATCH (Member Alert to Control High-Risk). Это система оповещения членов платежной системы по управлению рисками в торговых предприятиях. Банки-эквайреры используют систему для доступа к базе данных по мошенническим или скомпрометировавшим себя торговым точкам и их владельцам.

Для разработки повышенных требований к обеспечению безопасности данных о платежных картах был создан специальный Совет стандартов безопасности индустрии платежных карт (Payment Card Industry Security Standards Council), в который вошли American Express, Discover Financial Services, JCB, MasterCard Worldwide, Visa International. Стандарт PCI DSS vl.1 определяет требования безопасности для защиты информации, относящейся к платежной карте и должен использоваться тогда, когда номер карты хранится, обрабатывается или передается. Стандарт устанавливает требования по следующим шести категориям:

• построение и обеспечение безопасности сети;

• защита данных о держателях карт;

• обеспечение программы менеджмента уязвимостей;

• реализация строгих механизмов контроля доступа;

• регулярный мониторинг и тестирование сетей;

• обеспечение политики информационной безопасности.

Всего определяется двенадцать основных требований по всем категориям:

• установить и поддерживать конфигурацию межсетевого экранирования;

• не использовать пароли и другие параметры безопасности, определяемые поставщиками по умолчанию;

• защищать хранимую информацию;

• шифровать передаваемые данные о держателях карт по открытым каналам;

• использовать и регулярно обновлять антивирусное программное обеспечение;

• разрабатывать и поддерживать безопасные системы и приложения;

• ограничивать доступ к данным на основе принципа необходимого знания;

• назначить уникальный идентификатор каждому субъекту доступа к информации;

• ограничить физический доступ к данным о держателях карт;

• осуществлять мониторинг доступа к сетевым ресурсам и данным о держателях карт;

• регулярно тестировать системы и процессы безопасности;

• поддерживать политику информационной безопасности.

В настоящее время указанный стандарт обязателен для процессинговых центров, в дальнейшем его требования будут распространяться на всех участников платежных систем.

Для определения влияния мошеннических операций в ПС банка на бизнес банка необходимо оценить следующие риски:

• финансовый. Результатом проведения мошеннических операций чаще всего являются финансовые потери банка или его клиентов. В последнем случае необходимо учитывать риск потери клиента, если тот перестанет доверять сервисам, предоставляемым банком;

• репутационный. Репутации банка может быть нанесен ущерб, если предоставляемые им сервисы будут являться (или казаться) небезопасными, а принимаемые защитные меры неэффективными. Следует учитывать мнение о банке в области противодействия мошенничеству в СМИ, среди других банков, МПС, правоохранительных органов и даже мошенников.

• непрерывности бизнеса. Мошеннические операции в эквайринговой сети банка могут привести к временному прерывания бизнеса в ТСП с высоким уровнем мошенничества (в том числе как результат санкций МПС). В отношении эмиссии банк рискует потерять клиентов, которые из-за мошенничества или ввиду жестких мер по ограничению операций с банковскими картами могут вовсе отказаться от услуг банка.

Необходимым предварительным условием начала работ по управлению рисками в ПС банка является сбор первоначальной статистики по реализованным инцидентам информационной безопасности, эффективности применяемых в настоящий момент мер. Вообще сбор статистических данных должен являться постоянно осуществляемым непрерывным процессом.

Далее перечислены величины, расчет которых необходим для оценки рисков и эффективности принимаемых мер.

Эмиссия

1. Годовые и квартальные финансовые потери от мошенничества по эмиссии — общие, в расчете на одну карту, одну транзакцию, единицу валюты транзакции, по типам мошенничества, по регионам.

2. Число мошеннических операций — общее, по типам продуктов, по регионам.

3. Средняя сумма остатков на карточных счетах — общая, по типам продуктов.

4. Статистические профили держателей карт.

5. Статистика по использованию сервиса управления картой через мобильный телефон — SMS оповещение о проведенных операциях и управление лимитами и статусом карты.

6. Статистическая обработка совершенных мошеннических операций.

Эквайринг

1. Годовые и квартальные финансовые потери от мошенничества — общие, в расчете на один терминал, одну транзакцию, единицу валюты транзакции, по категориям ТСП, по регионам.

2. Число мошеннических операций — общее, по категориям ТСП, по регионам.

3. Оборот в эквайринговой сети — общий, по категориям ТСП, по регионам.

4. Статистические профили ТСП.

5. Статистическая обработка совершенных мошеннических операций.

Обязательные требования МПС

Банк как участник МПС обязан выполнять перечень процедур для контроля мошенничества. Невыполнение установленных требований приводит к штрафам, подрыву репутации банка и, в худшем случае, к отзыву лицензии участника МПС.

VISA определяет следующие нарушения, за которые предусмотрены санкции:

1. Превышение уровня мошенничества по ТСП. Торгово-сервисная компания попадает в Глобальную программу мониторинга опротестований по торговцам (Global Merchant Chargeback Monitoring Programme), если любая из ее точек достигает или превышает все следующие месячные лимиты для международных транзакций: