А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия Страница 49
- Категория: Бизнес / О бизнесе популярно
- Автор: А. Алексанов
- Год выпуска: 2012
- ISBN: 978-5-4257-0018-6
- Издательство: Московская финансово-промышленная академия; ЦИПСиР
- Страниц: 127
- Добавлено: 2018-07-25 16:47:25
А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия краткое содержание
Прочтите описание перед тем, как прочитать онлайн книгу «А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия» бесплатно полную версию:В книге дано подробное описание политики безопасности на всех этапах жизненного цикла банковской карты — от цеха, где производится пластиковая заготовка будущей карты, до торговой и сервисной сферы, где карта принимается к оплате. Отдельно рассмотрены международные стандарты PSI DSS и практика их применения. Дана классификация карточных рисков, изложена методика оценки рисков эмитента с использованием мониторинга карточных транзакций. Подробно описаны виды карточного мошенничества и методы его профилактики. Отдельные главы посвящены претензионной работе по операциям с банковскими картами и обеспечению безопасности процессингового центра. Проанализировано действующее российское законодательство, изложена судебная практика с подробным описанием уголовных дел, связанных с карточным мошенничеством, доведенных до суда. Даны общие рекомендации по информационной безопасности корпоративной системы банка как фундамента безопасности карточного бизнеса.
Книга ориентирована на сотрудников карточных подразделений, отделов информационной безопасности коммерческих банков, специалистов процессинговых центров, правоохранительных органов, занимающихся уголовными делами по карточному мошенничеству, руководящего персонала супермаркетов, прочих торговых организаций, студентов финансовых вузов.
А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия читать онлайн бесплатно
Анализируемые транзакции подразделяются на два класса.
1. Эмиссионные. Анализируются транзакции по картам, выпущенным банком.
2. Эквайринговые. Анализируются транзакции в эквайринговой сети банка.
Мониторинг транзакций эмитентомМониторинг транзакций позволяет банкам-эмитентам отслеживать попытки проведения мошеннических транзакций по собственным картам и принимать меры для уменьшения рисков (табл. 3.1).
МПС MasterCard рекомендует также осуществлять мониторинг эмитентом следующих событий и параметров:
• атаки по сгенерированным номерам карт;
• отрицательные результаты проверок кодов верификации карты CVC1 и CVC2;
• операции по картам с истекшим сроком действия;
• транзакции по неверным номерам карт;
• транзакции в возможных точках компрометации;
• операции кредитования и отмены авторизации торговой точкой;
• списки неиспользуемых карт.
Требования МПС относятся прежде всего к мониторингу в отложенном режиме, иные временные варианты мониторинга в настоящий момент не являются обязательными. Кроме того, проведенный автором анализ текущей ситуации с мошенничеством в ПС показывает, что эти меры являются в современных условиях недостаточными.
В связи с этим банк-эмитент должен разработать собственную политику управления рисками в ПСБК и выбрать ту СМТ, которая соответствует принятой политике, а не просто внедрить наиболее функциональное на данный момент техническое решение. При этом на практике следует добиться допустимого баланса между следующими показателями:
• принятие неадекватных решений по ограничению операций для не мошеннических операций;
• пропуск мошеннических операций;
• число сообщений, генерируемых СМТ, об операциях, не являющихся мошенническими;
• величины рисков в ПСБК с учетом работы СМТ и принимаемых на ее основе решений.
Несмотря на то что описанные критерии мониторинга являются недостаточными, их применение обязательно. Несоблюдение данного требования и превышение допустимых порогов по уровням мошенничества приводят к штрафам и санкциям со стороны МПС, к ухудшению репутации (увеличению репутационного риска) и в худшем случае прерыванию деятельности в области банковских карт (отзыв лицензии). В связи с этим каждый банк должен учитывать требования МПС в этой области в своей деятельности по снижению рисков в ПСБК, связанных с мошенничеством.
Проблема принятия решений при мониторингеАнализ транзакции на предмет ее мошеннического характера основывается на критериях отнесения конкретной транзакции к подозрительной (мошеннической). В случае если транзакция определена как мошенническая, следует выбрать меры реагирования для снижения потерь. Таким образом, для каждой транзакции стоит проблема принятия решения о ее подозрительном (мошенническом) характере и выборе мер противодействия. Принятие решений может основываться на экспертных системах и интеллектуальном анализе данных.
Экспертная система (ЭС) — это программное средство, использующее экспертные знания для обеспечения высокоэффективного решения неформализованных задач узкой предметной области. Основу экспертной системы составляет база знаний о предметной области, которая накапливается в процессе построения и эксплуатации ЭС. Накопление и организация знаний — важнейшее свойство всех ЭС.
Интеллектуальный анализ данных (английский термин «data mining») (ИАД) — это процесс поддержки принятия решений, основанный на поиске в данных скрытых закономерностей (шаблонов информации). Это процесс обнаружения в сырых данных ранее неизвестных, нетривиальных, практически полезных и доступных интерпретации знаний, необходимых для принятия решений в различных сферах человеческой деятельности. На рис. 3.2 приведены основные методы ИАД.
Ранее отмеченные критерии обязательного мониторинга транзакций МПС и существующие методы анализа транзакций позволяют определить требования отнесения операции к подозрительной на предмет мошенничества. В случае выявления такой транзакции следует предусмотреть меры реагирования, которые смогут уменьшить риск от этой и последующих мошеннических транзакций.
В случае выявления подозрительной операции банк-эмитент может предпринять следующие меры ограничения негативных последствий:
• отказ в авторизации этой подозрительной операции, если технически это возможно (в данном случае речь идет о мониторинге в режиме реального времени в соответствии с приведенной классификацией);
• блокировку карты, делающую невозможным совершение последующих операций по ней;
• установку ограничений по последующим операциям на величину покупок в ТСП за период, снятия наличных денежных средств в банкоматах и пунктах выдачи наличных (ПВН) за период, общей суммы операций за период;
• установку ограничений по последующим операциям на регион использования карты или категорию ТСП;
• информирование держателя карты о подозрительной операции, например, посредством SMS-уведомлений.
Реализация приведенных мер реагирования зависит от технических возможностей банка-эмитента и принятой политики управления рисками, связанными с мошенничеством в ПСБК.
Следует отметить, что сложность принятия решения по подозрительной операции заключается в том, что в случае пропуска мошеннической операции банк-эмитент может понести финансовые потери, в случае установки ограничений операций по карте в результате легальной операции клиента возможно нанесение ущерба репутации, недовольство со стороны клиента и, возможно, его потеря.
Особенности мониторинга некоторых операцийНекоторые операции являются особенными для мониторинга. Далее будут рассмотрены основные характеристики таких операций.
1. Операции в разных странах в установленный интервал времени. Операции по поддельной карте, используемой в стране, отличной от той, в которой совершает операции сам клиент, могут быть обнаружены с помощью СМТ. Для оценки принципиальной возможности нахождения клиента в двух странах в моменты совершения двух операций необходимо учитывать:
• расстояние между городами совершения операции;
• минимальное время, за которое можно переместиться между двумя точками проведения операций.
Если времени между операциями проходит слишком мало для того, чтобы настоящий держатель переместился из одной точки в другую, то имеет место мошенничество по поддельной карте.
Жалоба
Напишите нам, и мы в срочном порядке примем меры.