Платежные карты: Бизнес-энциклопедия - Проект

4. Эмитент несет ответственность перед держателем инструмента электронных денег за утрату суммы стоимости, хранимой в инструменте, и ненадлежащее исполнение сделок держателя в том случае, когда утрата суммы или ненадлежащее исполнение вызванное неисправностью инструмента, устройства (терминала) или иного оборудования, разрешенного к использованию, при условии, что неисправность не была вызвана держателем умышленно или вследствие нарушения требований статьи 3 (3) (а).

Раздел IV

Уведомление, разрешение споров и заключительные положения

1. Эмитент (или юридическое лицо, указанное им) предоставляет средства, посредством которых держатель может круглосуточно уведомлять об утрате или краже его (ее) электронного платежного инструмента.

2. Эмитент (или юридическое лицо, указанное им) по получении уведомления, несет обязательство, даже если держатель действовал с крайней небрежностью или с обманным намерением, принимать все разумные доступные ему меры для прекращения любого дальнейшего использования электронного платежного инструмента.

Государства-участники призываются обеспечить наличие достаточных и эффективных средств для разрешения споров между держателем и эмитентом.

Государства-участники призываются принять меры, необходимые, чтобы эмитенты электронных платежных инструментов осуществляли свою деятельность в соответствии со статьями 1–9 не позднее 31 декабря 1998.

Безопасность операций с платежными картами

Анатомия карточного мошенничества

Что такое аутентификация

Удаленный доступ клиента к своему банковскому счету (счетам) для выполнения расчетов с предприятием торговли (сервиса) при совершении безналичной покупки или с целью получения наличных в банкомате (отделении) банка, или с какой-либо иной целью невозможен без надежной аутентификации клиента его банком. Любое лицо, запрашивающее доступ к банковскому счету с целью выполнения финансовой операции и (или) для получения информации о статусе счета, на момент запроса доступа к счету является для банка, в котором открыт счет, только лицом, совершающим операцию (далее — ЛСО). Первоочередная задача банка состоит в том, чтобы в момент обращения ЛСО к банковскому счету X проверить права ЛСО на доступ к счету X с целью его использования для совершения различных операций. Другими словами, банк должен проверить справедливость равенства «ЛСО = клиент банка А, имеющий право на доступ к счету X». Проверка этого равенства состоит из двух частей:

1) проверка того, что «ЛСО = клиент банка А»;

2) проверка того, что клиент А имеет право на доступ к счету X. Выполнение первой части и есть ничто иное, как решение задачи аутентификации банком ЛСО.

Существуют различные средства и связанные с ними технологии аутентификации ЛСО. Пластиковая карта является апробированным и широко используемым средством идентификации (аутентификации) лица, совершающего операцию. Например, в Европе примерно 30 % всех безналичных персональных покупок производится с помощью пластиковой карты. Пластиковая карта позволяет банку идентифицировать счет X, к которому обращается ЛСО, а также с хорошей достоверностью (как показывает практика с вероятностью не ниже 99,92 %) решить задачу проверки равенства «ЛСО = клиент банка, имеющий доступ к счету X». Значение 99,92 % выводится из того факта, что на сегодняшний день средний уровень карточного мошенничества составляет примерно 8 базисных пунктов.

Достоверность аутентификации лица, совершающего операцию с использованием пластиковой карты, является краеугольным камнем технологии пластиковых карт. От того, насколько технология позволяет банку-эмитенту карты быть уверенным в том, что операция выполнена с использованием его (банка-эмитента) карты, и операция совершается законным держателем карты — клиентом банка-эмитента, которому карта была выдана банком на основе договора банка с клиентом, зависит жизнеспособность карточной технологии в целом. Именно поэтому платежные системы и банки уделяют так много внимания вопросам карточной безопасности. Именно в результате осознания того факта, что технология аутентификации ЛСО при использовании карт с магнитной полосой уже не обеспечивает необходимый уровень достоверности, сегодня происходит массовая миграция банков на существенно более безопасную технологию, в основе которой лежит использование микропроцессорных карт.

При использовании карт аутентификация ЛСО является в общем случае распределенной процедурой, в которой заняты все участники операции — торговое предприятие, обслуживающий торговое предприятие банк, платежная сеть и, наконец, банк, к счету которого обращаются с целью проведения оплаты. Роли каждого участника процедуры аутентификации ЛСО важны (например, сеть аутентифицирует обслуживающий банк, обслуживающий банк в свою очередь аутентифицирует торговое предприятие, последнее выполняет важные функции для аутентификации ЛСО). Однако окончательное решающее слово — заключение по поводу справедливости равенства «ЛСО = клиент банка, имеющий доступ к счету»- произносится банком-эмитентом карты, а потому и ответственность за принятое решение в большинстве случаев (исключение составляют CNP-транзакции[152], не использующие протокол 3D Secure) несет эмитент карты.

Многофакторная модель аутентификации ЛСО

Когда речь идет о картах, для аутентификации ЛСО банком в общем случае используется трехфакторная модель аутентификации:

Фактор 1. Проверка чего-то, что имеется у ЛСО и что указывает на его связь с банком. В нашем случае — это проверка наличия у ЛСО пластиковой карты и подтверждение того факта, что карта была эмитирована банком.

Фактор 2. Проверка чего-то, что должно знать только ЛСО и может быть проверено банком (возможно опосредованно с использованием других участников операции, в рамках которой производится аутентификация ЛСО). В нашем случае — это ПИН-код, известный только ЛСО (может быть проверен банком-эмитентом, возможно с использованием карты эмитента, если карта является микропроцессорной и эмитент делегировал ей эту функцию) и (или) подпись ЛСО (подпись клиента изначально удостоверяется банком при выдаче карты клиенту и проверятся эмитентом опосредованно через торговую точку). Для соответствия законодательству некоторых стран при использовании микропроцессорных карт иногда одновременно применяется проверка ПИН-кода и подписи клиента.

Фактор 3. Проверка чего-то, что присуще только клиенту банка (физически не может быть передано иному лицу) и связано с выданной ему картой. В случае безналичных расчетов — это биометрическая информация клиента банка, записанная для хранения в чипе карты. Проверяется соответствие биометрической информации клиента банка, записанной в чипе карты, биометрической информации, относящейся к ЛСО.

Сегодня, как правило, используется двухфакторная модель (факторы 1 и 2). Биометрические методы верификации только начинают внедряться для держателей микропроцессорных карт.

Отметим, что логика многофакторной модели аутентификации очевидна. В первую очередь банк должен понять, что карта, по которой собираются выполнить операцию, действительно его карта, т. е. карта была эмитирована банком (фактор 1). Поскольку реквизиты карты определяют ее держателя, то, очевидно, следующий вопрос, на который должен ответить эмитент — моя карта находится в руках моего клиента, которому я выдал карту для обеспечения удаленного доступа клиента к своему счету? Для ответа на этот вопрос используется фактор 2.

Проверка наличия у ЛСО карты, выданной банком (фактор 1), выполняется в несколько этапов с помощью:

• осмотра продавцом торгового предприятия внешнего вида карты (проверка логотипов банка и платежной системы, голограммы, специальной микропечати, нанесенной на карту, тисненных секретных символов и т. п.), а также в случае микропроцессорной карты — с помощью оффлайновой динамической аутентификации карты;

• проверки обслуживающим банком того факта, что торговое предприятие, в котором совершается операция, действительно, обслуживается этим банком;

• проверки эмитентом номера карты, ее срока действия, секретных величин CVC/CVV (CVC2/CVV2), а в случае микропроцессорной карты — выполнение онлайновой динамической аутентификации карты.