Спецпроекты

Перспективы развития стандарта PCIDSS

Интеграция ИТ в банках
Чтобы успешно вести бизнес, сегодня необходимо смотреть на несколько шагов вперед, предугадывать грядущие проблемы. Тогда,столкнувшись с ними лицом к лицу,компания будет готова им противостоять, сможет минимизировать потери и получит конкурентные преимущества. Тот же принцип актуален для индустрии платежных карт. Тем более что она повсеместно развивается, и почти каждый человек в нашей стране имеет пластиковую карту.

Основной угрозой для всех участников индустрии платежных карт, без сомнения, является мошенничество. Только в Великобритании ущерб от мошеннических операций с пластиковыми картами за 2011 год составил 341млн фунтов, по данным Британской ассоциации по предотвращению мошенничеств (FFA).Что составляет порядка 6.1 % от общего объема операций в этой стране. К сожалению, статистика типична для многих стран.

Основные три типа мошенничестваосновываются на краже персональных данных держателя карты.Если расположить их в порядке убывания популярности среди мошенников, то получится следующая картина.Сardnotpresentfraud – осуществление операций, для которых не требуется непосредственного присутствия держателя карты. Это позволяет мошенникам, которым удалось завладеть данными, напечатанными на карте клиента, производить от его имени покупки, например в интернет магазинах. Skimming– незаметное для клиента копирование данных его карты для последующего изготовления дубликата и осуществления с помощью него операций.И на третьем месте по распространенностиокажется кража или утеря карт.

Без гарантий

К счастью, с 2004 года ответственность за стандартизацию и консолидацию мер по защите данных держателей карт взяла на себя организация PaymentCardIndustrySecurityStandardsCouncil. Она разработала известный стандарт PCIDSS, которыйсегодня включает 12 требований. Их выполнение позволяет противостоять краже и недобросовестному использованию данных держателей карт, которые хранятся в системах процессингового центра или любой другой организации, которая тем или иным образом такие данные обрабатывает.

В России платежная система VISA даже сделала разработанный стандарт обязательным к сертификации для своих членов. Поэтому ежегодно перед большинством российских организаций, так и иначе занимающихся обработкой или хранением карточных данных, возникает задача подготовки своих систем кPCIDSS-аудиту. Но парадокс ситуации в том, что на задачи, связанные с подготовкой к аудиту, выделяется львиная доля ресурсов и средств. Однако при этом организация, получившая сертификат соответствия PCIDSS, необеспечивает себе должного уровня защиты от основных типов мошеннических действий.По статистике, основной ущерб приходится на операции электронной коммерции и изготовление поддельных карт. Текущие же требования PCIDSSв большинстве случаев не позволяют их предупредить.

Методы борьбы

Участники индустрии платежных карт самостоятельно разрабатывают механизмы защиты от подобного рода преступлений.Во-первых, создан протокол 3-DSecure, чтобы обеспечить дополнительный уровень безопасности при осуществлении online-операций по кредитным и дебитным картам.Использование этого протокола позволяет реализовать при осуществлении online-платежей принцип двухфакторной аутентификации "что-то имею и что-то знаю". Такой подход, в свою очередь,сильно уменьшает риски банка-эквайера, предлагающего услуги электронной коммерции. Во-вторых, все больше выпускается чиповых карт с поддержкой динамической аутентификацией данных (DDA). Изготовление на их основе поддельных карт –трудноосуществимая сегоднязадача.

Если рассмотреть пример все той же Великобритании, которая является наиболее активным участником сообщества государств, уделяющих противодействию преступлениям в индустрии платежных карт особое внимание, то начало перехода большинства банков этой страны на эмиссию чиповых карт в 2004 году позволило уменьшить потери, связанные с изготовлением поддельных карт, в четыре раза!

Также, говоря о современных средствах противодействия угрозам, нельзя не упомянуть активно развивающиеся сейчас системы фрод-мониторинга (Fraudpreventionsystems). Они призваны распознавать мошенническую операцию непосредственно в момент попытки ее осуществления за счет заранее определенных правил.


Стратегия месяца

LegalTech грозит заменить юристов

Средства искусственного интеллекта все чаще используются для обработки обращений за юридической помощью.

Технология месяца

Какие трудности ждут сети 5G на предприятиях

Необходимо решить ряд вопросов,  в первую очередь — с обеспечением безопасности.