Безопасность карточного бизнеса : бизнес-энциклопедия - А. Алексанов
Шрифт:
Интервал:
Закладка:
• карта обычно выпускается сроком на два года;
• как правило, скомпрометированные данные банковских карт используются мошенниками в течение года, хотя известны и более продолжительные интервалы времени между компрометацией и использованием данных, вплоть до двух лет;
• известны схемы мошенничества, осуществляемые по одному и тому же сценарию в течение нескольких лет (например, компрометация в одной стране, а несанкционированные операции в любой из стран известного множества);
• обязательные со стороны МПС критерии мониторинга по эквайрингу устанавливают минимальный временной интервал, равный 90 дням активных операций по ТСП.
Таким образом, при расчете вероятностей по формулам (10) и (12) следует учитывать приведенные временные особенности и устанавливать время расчета вероятностей по операциям с картой не менее одного года.
Далее мы будем вести расчеты за период времени, равный одному году, если иное не оговорено.
Рассмотрим вероятность компрометации данных карты при ее использовании в n операциях в различных устройствах — терминалах ТСП, банкоматах и ПВН. Пусть вероятность компрометации данных при совершении операции есть Pi (кпр), где i — номер операции.
Пусть событие A состоит в том, что данные карты скомпрометированы в результате операции k в любом терминальном устройстве, а событие B — данные скомпрометированы в r-й операции в любом терминальном устройстве, причем k < r. Будем считать события A и B независимыми, т. е.
Вероятность того, что данные карты не были скомпрометированы ни в одной операции, можно записать в следующем виде с учетом формулы (14):
Исходя из формулы (15) вероятность компрометации данных карты хотя бы в одной операции:
Таким образом, для расчета вероятности компрометации данных карты требуется рассчитать значения вероятности компрометации данных карты в каждом использованном терминальном устройстве, что может быть сделано с использованием данных в БДО и БДМ, хранящихся в табл. 3.1, 3.3, 3.6. Расчет может производиться:
• по каждому уникальному терминалу;
• по категории торгового предприятия (merchant category code — MCC): различные коды ТСП, банкоматы, ПВН;
• по стране торгового предприятия;
• по категории и стране торгового предприятия;
• по категории, стране и городу торгового предприятия.
Далее будем вести расчеты по стране и категории торгового предприятия.
Например, для расчета вероятности компрометации данных магнитной полосы карты i в некоторой стране за год в торговом предприятии определенной категории подсчитываем число операций, удовлетворяющих данному условию, в результате которых данные оказались скомпрометированы, и общее число операций, а далее с учетом формулы (16) получаем:
где Wкпр(стрс, mccm)(i) — число операций, связанных с компрометацией данных, по картам банка в стране стрс и категории торгового предприятия mccm за год;
Wтрз (стрс, mccm)(i) — общее число операций по картам банка в стране стр c и категории торгового предприятия mccm за год.
Введем следующие обозначения:
Обозначим вероятность компрометации данных карты с учетом введенных обозначений и формулы (17) следующим образом:
В случае компрометации данных карты они могут быть использованы для совершения мошеннической операции. На основе данных БДМ можно рассчитать условные вероятности использования скомпрометированных в хотя бы одной точке использования карты ее данных:
где Wисп (стр, mcc)(i) — число фактов последующего использования скомпрометированных данных в точках использования карты i (страна и категория ТСП);
Wкпр(стр, mcc)(i) — число компрометаций данных карт в точках (страна и категория ТСП), в которых использовалась карта i.
Попытка проведения мошеннической операции может быть пресечена в торговом предприятии, до попадания авторизационного запроса по карте эмитенту. Рассмотрим возможности пресечения проведения мошеннической операции в зависимости от ее типа:
• операция по поддельной карте с известным ПИН-кодом в банкомате — в соответствии с формулой (8) вероятность успеха не зависит от способности выявления подделки банкоматом (за исключением упомянутого случая подделки магнитной полосы комбинированной карты и попытки ее использования в банкомате, поддерживающем проведение операций по микропроцессорным картам);
• операция по поддельной карте в ТСП — согласно формуле (4) вероятность мошенничества зависит от возможности обнаружения подделки кассиром;
• операция без присутствия карты — исходя из формулы (11) вероятность успеха мошенничества зависит от применяемой ТСП схемы безналичных платежей.
Проведенный анализ показывает, что в большинстве случаев мошенничества, связанного с подделкой карт крупнейших МПС VISA и MasterCard, можно избежать, если кассир выполняет следующие визуальные проверки карты:
• на наличие четырех напечатанных цифр под эмбоссированным номером карты;
• на наличие микропечати VISA по периметру логотипа карты VISA;
• на наличие голубя на картах VISA и букв «М» и «С» на картах MasterCard, появляющихся при облучении карты ультрафиолетом;
• при наклоне карты VISA на голограмме должен появиться летящий голубь, а MasterCard — надпись «MasterCard»;
• сравнение номера карты на чеке терминала и на карте;
• на наличие эмбоссированных секретных символов на карте (летящие буквы «V» и «M»).
Современная практика функционирования ПС показывает, что часто описанные проверки в ТСП не производятся, поэтому МПС отказались от использования эмбоссированных секретных символов, а также некоторых видов микропечати.
С учетом изложенных доводов вероятность проведения мошеннической операции по поддельной карте в ТСП с учетом формулы (4) можно, положив Pпод. крт (поп|кпр исп) = 1, рассчитывать по следующей формуле:
Следовательно, риск по поддельным картам в ТСП с учетом формулы (20):