А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия

Рейтинг:

• 80
• 1
• 2
• 3
• 4
• 5

Название:

Безопасность карточного бизнеса : бизнес-энциклопедия

Автор:

А. Алексанов

Издательство:

Московская финансово-промышленная академия; ЦИПСиР

Жанр:

О бизнесе популярно

Год:

2012

ISBN:

978-5-4257-0018-6

Скачать:

99Пожалуйста дождитесь своей очереди, идёт подготовка вашей ссылки для скачивания...

Скачивание начинается... Если скачивание не началось автоматически, пожалуйста нажмите на эту ссылку.

Вы автор?
Жалоба

Все книги на сайте размещаются его пользователями. Приносим свои глубочайшие извинения, если Ваша книга была опубликована без Вашего на то согласия.
Напишите нам, и мы в срочном порядке примем меры.

Как получить книгу?

Оплатили, но не знаете что делать дальше? Инструкция.

Описание книги "Безопасность карточного бизнеса : бизнес-энциклопедия"

Описание и краткое содержание "Безопасность карточного бизнеса : бизнес-энциклопедия" читать бесплатно онлайн.

Рассмотрим возможные действия злоумышленника, имеющего доступ к данным карты или ее реквизитам. Для проведения операции с реальной (физически существующей) картой необходима информация, записанная в чип (для микропроцессорных карт) либо на магнитную полосу. Знания только номера карты явно недостаточно, чтобы изготовить поддельную микропроцессорную карту. Для осуществления операции с использованием магнитной полосы кроме номера карты злоумышленнику дополнительно необходимо получить дату действия карты, код проверки подлинности карты (CVV/CVC) и сервис-код, который у аналогичных типов карт обычно одинаковый. Дату действия карты получить достаточно просто — путем хищения из того же источника, где был похищен сам номер карты, от держателя карты с использованием технологий фишинга, перебором. Код CVV/CVC получить гораздо сложнее — он записан на магнитной полосе карты, хранение данных которой любым участником платежной системы после проведения авторизации запрещено. Таким образом, похитить CVV/CVC при хранении нельзя, так как эти данные просто нигде не должны храниться. С помощью фишинга данный код получить невозможно, поскольку держатель его не знает. При использовании злоумышленником техники перебора всех возможных вариантов кода (три цифры дают 1000 вариантов) современный уровень систем мониторинга транзакций в режиме реального или псевдореального времени позволяет выявить данную атаку на ранней стадии и заблокировать карту. В случае же если эмитент записывает на магнитную полосу карты и код проверки подлинности ПИН (PVV), состоящий из четырех цифр (10 000 вариантов), то задача по подбору злоумышленником кодов безопасности становится существенно более трудоемкой (подобрать нужно комбинацию из семи цифр — 10 000 000 вариантов). Дополнительно необходимо отметить, что с учетом темпов EMV-миграции как со стороны эмиссии, так и со стороны эквайринга, особенно в Европе, и с отменой возможности проведения операции по микропроцессорной EMV-карте в EMV-терминале по магнитной полосе вероятность финансовых потерь в случае компрометации трека снижается с каждым годом. Смещение таких мошеннических операций в мировом масштабе происходит в регионы, где EMV-миграция не начиналась или проходит неактивно.

Второй сферой технологии платежных карт, где несанкционированно может быть использован похищенный номер карты, является интернет-коммерция. Действительно, в последнее время в данной области потери во всем мире стремительно возрастают. Сократить их должна безопасная технология проведения платежей 3D Secure, которая предусматривает дополнительную аутентификацию держателя со стороны эмитента. При реализации данной схемы (как со стороны эмитента, так и со стороны эквайрера) знание злоумышленником только номера платежной карты становится недостаточным. Следовательно, для минимизации потерь необходимо дальнейшее развитие технологии 3D Secure, особенно со стороны эмитентов. Однако в данном вопросе необходимо отметить следующие аспекты. Если интернет-транзакция проводится по традиционной схеме, без использования технологии 3D Secure, то для авторизации необходим номер карты, срок ее действия и код проверки подлинности карты CVV2/CVC2 — эти данные могут быть достаточно легко скомпрометированы. Учитывая перенос ответственности за несанкционированные держателями платежных карт операции, эквайреры повсеместно применяют более защищенную технологию 3D Secure, где перечисленных выше данных будет уже недостаточно. Но проблема заключается в трудности привлечения держателей карт для использования данной технологии даже в случае сертификации банка эмитента как 3D Secure. Во-первых, предлагаемые платежными системами методы Verified by VISA — Token Based Authentication и Secure Code — Chip Authentication Program не нашли в настоящий момент широкого распространения среди держателей, так как требуют от последних дополнительных затрат на приобретение оборудования, необходимости посещения банка, затрат на обучение. Во-вторых, если интернет-операция проводится между эквайрером, поддерживающим 3D Secure, и эмитентом, не поддерживающим 3D Secure, либо на 3D Secure, не подписан данный держатель, то согласно требованиям платежных систем уровень безопасности такой транзакции оказывается даже ниже, чем при классической операции. Дело в том, что такая операция может быть осуществлена только по номеру карты и дате ее действия, код проверки подлинности карты CVV2/CVC2 эквайрером может не запрашиваться. При этом, как правило, эмитент проверяет, что введенная дата действия карты больше текущей и в базе данных эмитента срок действия карты не закончился. А для обеспечения возможности работы двух карт одновременно при плановом перевыпуске не сравниваются даты из базы данных и транзакции. Таким образом, для осуществления успешной мошеннической операции необязательно даже знать срок действия карты — достаточно, чтобы он был больше текущей даты. То есть при реализации транзакции с поддержкой 3D Secure только со стороны эквайрера необходимо знать только номер карты и интернет-потери возрастают! Для обеспечения уровня безопасности при таких операциях, равного стандартному, эквайреру необходимо запрашивать код CVV2/CVC2. Для решения проблемы нежелания держателей подписываться на технологию 3D Secure для дополнительной аутентификации держателей, вероятно, нужно использовать технологию мобильной связи как наиболее распространенную и доступную клиентам.

Таким образом, при современных технологиях платежных карт номер карты не относится к критически важным данным — проведение несанкционированной операции возможно либо при нарушении требований безопасности, либо при отставании от передовых технологий, таких как EMV и 3D Secure.

2. Стоимость реализации требований Стандарта может превысить величину потерь от нарушения безопасности защищаемых активов, что сделает такую защиту неэффективной и в принципе нецелесообразной. Стоимость защиты должна быть приемлемой и как минимум не превышать убытков в случае ее отсутствия, однако таких оценок при разработке Стандарта не проводилось.

3. Внедрение требований Стандарта потребует дополнительным затрат со стороны эквайреров и торговых предприятий (далее — торговцы), что может привести к замедлению развития бизнеса, если не к полной остановке (например, в российских условиях, где рентабельность и так невелика).

Реализацией мер по принуждению к прохождению процедур сертификации на соответствие Стандарту и выдачей сертификатов на его соответствие занимаются платежные системы. Процессинговые центры и эквайреры имеют договорные отношения с платежными системами и вследствие этого обязаны выполнять все требования Стандарта. Торговые предприятия членами платежных систем не являются, гражданско-правовые отношения они имеют только с эквайрерами. Поэтому ответственность за соответствие торговца требованиям Стандарта возложена на эквайрера — т. е. эквайрер считается соответствующим его требованиям, если все его торговцы прошли процедуры сертификации в платежных системах. Кто будет оплачивать расходы по приведению торговца к соответствию требованиям Стандарта?

Данные расходы могут состоять из затрат на проведение аудита, пен-теста, ежеквартальных сканирований сети, мероприятий по приведению автоматизированной системы торговца в соответствие с требованиями, в том числе расходы на приобретение оборудования, программного обеспечения (соответствующего, помимо прочего, требованиям стандарта безопасности PA-DSS), принятие в штат или обучение сотрудников. У торговцев в России в настоящий момент нет никаких стимулов соответствовать данному Стандарту. Эквайрер же может понести штрафные санкции, если у его торговца произойдет компрометация данных платежных карт, а торговец окажется несертифицированным. Отсюда следует, что данные расходы, вероятнее всего, будет нести именно эквайрер, поэтому эквайрер будет крайне заинтересован не показывать платежным системам крупных торговцев путем регистрации их в платежной системе как нескольких более мелких. Для небольших торговцев необходимо проходить ежеквартальные сканирования сети и заполнять специальный опросный лист, на основании которого и делается заключение о соответствии требованиям Стандарта. По логике данный опросник должен заполнить сам торговец, так как только он знает, как у него организована защита информации. Но поскольку, как уже отмечалось, торговец не заинтересован в прохождении процедур сертификации, а это как минимум выделение человеческих ресурсов, то скорее всего данный опросный лист будет заполнять сам эквайрер. И здесь возникает интересная ситуация. Если эквайрер ответит на все вопросы «как есть», то, во-первых, это займет с его стороны гораздо больше времени для выяснения истинного положения дел у торговца, а во-вторых, будет вероятность того, что торговец не соответствует требованиям Стандарта. Это, в свою очередь, связано с риском штрафов для эквайрера от платежных систем в случае компрометации данных у торговца и ведет к необходимости приведения сети торговца в соответствие требованиям Стандарта (опять же за счет эквайрера). В случае если эквайрер ответит на вопросы «как надо», то это сэкономит ему существенные ресурсы, а также ликвидирует риск применения штрафных санкций со стороны платежной системы.