А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия Страница 52

где SFRпод. ПИН — риск по поддельной карте при известном злоумышленнику ПИН-коде;

SБКМсум — доступные средства на счете клиента для проведения операций в банкоматах.

Величина SБКМсум может не равняться доступной сумме для совершения операций по счету карты, поскольку могут быть установлены лимиты на совершение операций в ТСП, которые в данном случае и будут являться ограничением для величины потерь по мошенническим операциям такого типа.

Исходя из формул (3), (6) и (9) риск по поддельной карте рассчитывается следующим образом:

Требования МПС к безопасности операций электронной коммерции формулируются следующим образом:

• должна обеспечиваться взаимная аутентификация участников покупки;

• реквизиты платежной карты (номер карты, срок действия, коды верификации CVC2/CVV2 и т. п.), используемой при проведении транзакции, должны быть конфиденциальны для ТСП;

• невозможность отказа от операции для всех участников транзакции.

Первый протокол, удовлетворяющий этим требованиям, — протокол безопасных электронных транзакций Secure Electronic Transaction (SET). Высокая стоимость его реализации и сложность внедрения не позволяют использовать его повсеместно в современных условиях.

На сегодняшний день ведущие МПС поддерживают единственный протокол безопасной электронной коммерции — 3D Secure. Если операция без присутствия карты проведена без использования защищенного протокола, то ответственность за мошенничество возлагается на обслуживающий банк.

Тем не менее до сих пор большая часть операций в Интернете проводится без использования безопасных протоколов. Часто для проведения операции в интернет-магазине достаточно просто номера карты и дополнительно срока действия, кода верификации карты CVC2/CVV2.

Серьезной проблемой является кража данных о реквизитах карт с серверов интернет-магазинов. Несмотря на запреты МПС, банки-эквайреры и интернет-магазины хранят в своих системах номера карт, сроки действия, CVV2/CVC2, иные данные, используемые при осуществлении транзакций. Исследования, проведенные VISA USA, показали, что в США 37 % ТСП продолжают хранить в своих системах данные по обслуживаемым картам. Интересные данные были представлены сотрудниками компании Trustwave на проводившейся с 14 по 16 сентября 2008 г. конференции MICROS Users Conference в Аннаполисе, США, по результатам анализа 400 инцидентов, связанных с компрометацией данных платежных карт. Основные результаты исследования:

• большинство инцидентов (9 из 10) связаны с небольшими ТСП;

• только 69 % атак было осуществлено с присутствием карты, т. е. 31 % — без присутствия карты;

• наиболее атакуемым звеном технологии является ПО торгового терминала (67 %), далее следуют атаки на интернет-магазины (25 %).

Из сказанного можно сделать несколько важных выводов:

• возможна компрометация данных банковских карт после проведения легальных операций в интернет-магазинах из-за хранения этих данных в автоматизированных системах этих магазинов;

• если интернет-магазин и банк-эквайрер поддерживают безопасный протокол 3D Secure, то ответственность за мошенническую операцию, как правило, лежит на эмитенте.

Определим

Из формул (3) и (11) следует, что риск по операциям с отсутствием карты:

Риск складывается из:

• риска, связанного с использованием персональных данных держателя карты или информации по его счету для открытия нового счета, и

• риска, связанного с захватом уже открытого счета.

Данный риск можно вывести за рамки применения СМТ.

Для регистрации всех фактов, связанных с компрометацией данных и проведением мошеннических операций, автором предлагается обеспечить хранение данных в таблицах базы данных (БД). Предлагаемый формат позволит фиксировать все аспекты, связанные с мошенничеством в ПСБК, что используется для подготовки регулярных отчетов по текущему уровню мошенничества и расчета величин, необходимых для получения количественной оценки рисков (рис. 3.3).

Формат хранения данных позволяет учитывать всю информацию, связанную с мошенничеством, которую можно получить в ходе проведения мероприятий по обеспечению безопасности ПСБК, в том числе:

• заявления держателей карт по несогласию с проведенными операциями по их картам;

• информацию от МПС, сторонних банков, правоохранительных органов, СМИ по фактам компрометации данных и проведению мошеннических операций, связанных с ПСБК банка;

• данные по точкам компрометации данных банковских карт;

• данные по точкам проведения мошеннических операций с банковскими картами;

• данные по объемам мошеннических операций, предотвращенных потерь, страховых возмещений;

• данные по скомпрометированным картам в ПСБК.

Организация единого хранилища описанных данных часто не обеспечена, поскольку различные подразделения банка занимаются решением вопросов, связанных с безопасностью ПСБК, в рамках своей компетенции и оперируют только частью информации по мошенничеству. Практика позволяет сделать вывод о том, что агрегирование информации по мошенничеству в ПСБК, ее обработка и анализ необходимы в современных реалиях.

Далее приводится краткое описание таблиц БД и их назначение.

Инцидент. Таблица 3.3 служит для хранения данных по всем событиям, являющимся основанием для проведения расследований как по эмиссии, так и по эквайрингу.

Об инциденте может стать известно от МПС, сторонних банков, СМИ, правоохранительных органов, из других источников. Возможно, инцидент не имеет отношения к ПСБК банка в момент получения сообщения о нем, но должен быть зафиксирован для сохранения самого факта его происшествия, что, возможно, понадобится в будущем.

Оператор. Оператором является уполномоченный сотрудник, осуществляющий регистрацию инцидентов и расследований. Каждый оператор имеет уникальный идентификатор.

Расследование. Результатом расследования должны являться подсчитанные суммы потерь (в том числе предотвращенных), принятые решения. Расследование может инициировать другое расследование, тогда второе можно связать с первым через поле ID master расследования (табл. 3.4).