ПРОБЛЕМЫ НАДЕЖНОСТИ И ЗАЩИТЫ карточных технологий

С платежными карточками связано несколько вполне реальных возможностей злоупотребления. Со стороны пользователей - это неуплата по счетам, для кредитной карты - обычное отсрочка платежа, завершается появлением в счетах непосильного размера процентов, а также пользования карточками, по которым исчерпан кредитный лимит.

Самым распространенным видом мошенничества являются манипуляции с утерянными или украденными платежными карточками. В Украине они составляют более двух третей всех преступлений с банковскими платежными карточками. На Западе теряется и крадется примерно 0,5% от выданных карт, из них только 15% используются с мошенническими целями. На Западе любой эмитент, уважающая себя компания имеет специалиста по вопросам безопасности, а платежные системы - целые подразделения, занимающиеся этими вопросами. В целом же, если система работает по правилам, то возможности мошенничества минимальны.

Риски, сопровождающие карточные технологии

Основной предпосылкой возникновения рисков при реализации карточных программ является мошеннические действия, обусловленные желанием мошенников завладеть средствами, которые размещены на карточных счетах клиентов.

Под мошенничеством понимают применение любых мер для перехвата средств в пользу третьей стороны, не является плательщиком, получателем или посредником.

Практически все известные методы мошенничества основаны на несанкционированном списании средств с карточных счетов. Поэтому, как правило, основные убытки несут банки-эмитенты. Банки, которые обслуживают торгово-сервисную сеть, несут убытки только в случае нарушения формальных правил обслуживания платежных карточек, штрафов международных платежных систем (мяс), тогда, когда банки-эмитенты манипулируют правилами платежных систем, и при обслуживании операций по картам в сети Internet .

Факторы возникновения рисков по платежным картам могут быть прямые и косвенные, объективный характер, то есть не зависеть от банка, и субъективного характера, то есть такие, которые зависят непосредственно от банка. К прямым факторам относятся мошенничество со стороны держателей или посторонних лиц, незащищенность или несовершенство технологии. Косвенные факторы, в свою очередь, делятся на внешние и внутренние.

Особую роль играют технические особенности функционирования платежных карт - степени защиты карты, технологические особенности карты (магнитная полоса или микросхема), коммуникационные возможности банка-эмитента и банка-эквайера, техническое оборудование и технологическое обеспечение торгово-сервисной сети. Поэтому вопросы защиты, шифрования данных при информационного обмена должен быть под постоянным контролем соответствующих служб банка.

Рассмотрим основные виды рисков, с которыми сталкиваются банки и клиенты, и возможные методы защиты.

Риском по эмиссии дебетовых карт является овердрафт - возникновение недозволенного кредита по дебетовой карточкой клиента в связи с изменением курсов валют, списанием комиссий и отсутствием какого-либо обеспечения карты. Появляется преимущественно по картам клиентов, которые пользуются ими за границей, по карточкам для зарплатных проектов в связи с отсутствием неснижаемого остатка на карточном счете, в случае технических сбоев оборудования и тому подобное. Риски по эмиссии кредитных карт можно разделить на следующие виды. • Подлимитные операции - возможность несанкционированного использования средств с карточных счетов, как следствие применения технологии осуществления операций по картам без получения авторизации (подтверждение разрешения на проведение операции) от банка-емитен-та. Карточки используют мошенники целенаправленно, чтобы нанести ущерб банку. Таким образом, тщательная проверка клиента является главным методом противодействия.

• Stand-in-Processing (STIP) авторизация - возможность несанкционированного использования средств банка с помощью технологии осуществления операций по картам с получением авторизации от платежной системы по общим разрешенными параметрами осуществления операций, установленных банком для всех карт без фактического получения разрешения от эмитента на проведение конкретной операции.

Эффективным методом противодействия этому риску применение порого вых параметров при авторизации, могут устанавливаться как на определенный диапазон карточек, так и на отдельные карточки или типы торговых точек.

Например, пороговыми показателями могут быть; максимальная сумма, которая доступна в течение дня; максимальная сумма одной операции; количество успешных авторизационных запросов по одной банковской платежной картой {ВПК) в течение дня.

• Пиратские программы - использование хакерами специально разработанных компьютерных программ для генерации реально существующих номеров карточек, получение информации о картах через программное обеспечение. Поэтому минимум раз в год следует проводить учет номеров карточек, по которым не было зафиксировано финансовых операций, и диапазон номеров карточек, не были эмитированы.

• Потеря информации - незаконное получение информации от должностных лиц МПС, процессингового центра, провайдеров связи, торговых точек, банка, непосредственно держателями карточек для дальнейшего мошеннического использования. Среди потенциальных мошенников могут быть и работники банка. От собственных сотрудников трудно защищаться. Поэтому приходится принимать такие меры:

- Обеспечение физической и технологической безопасности процесса производства карт, процессирования трансакций и обеспечение процесса авторизации;

- Шифрование информации по картам при передаче по каналам связи;

- Проверка процессов хранения, производства и отправки карточек и PIN-конвертов;

- Ограничение и разграничение уровней доступа сотрудников к информации по картам в системе банка;

- Контроль за соблюдением правил безопасности и сохранения информации в банке, процессинговом центре;

- Создание специализированной структуры, анализирует риски и безопасность карточного проекта.

• Потеря карточки - похищение или передача карточки мошенникам сотрудниками банка, фабрик, имеющих доступ к карточкам, при отправке реального пластика банка - для производства поддельных карт.

Основной метод предотвращения мошеннического использования потерянных карт заключается в том, что клиент должен своевременно уведомить банк и правоохранительные органы.

Для уменьшения мошенничества банки изготавливают карточки с фотографией держателя, что должно привлекать внимание работника торгового пункта.

• Овердрафт по кредитным картам - возникновение суммы неразрешенного кредита по кредитной карте клиента в связи с изменением курсов валют, списанием комиссий банка или эквайров и недостаточностью обеспечения карточки для возмещения суммы задолженности банка.

Операционные риски - расходы на арбитраж, рекламации, стоп-листы, другое, не возмещается банку клиентами. Возникают, как правило, в связи с особенностями технологий МПС.

Рисками, которые угрожают держателю в процессе расчетов, в торгово-сервисной сети являются:

• Телемаркетинг - осуществление операций по кредитным картам в среде Internet, по почте, по телефону без разрешения владельца карточки.

• Ручной ввод операции - это проведение операций по кредитным картам без непосредственного использования карточки на терминальном оборудовании, а вводом информации по карте сотрудниками торгового пункта (якобы из-за физического повреждения магнитной смуты). В таком случае правдивость магнитной полосы не проверяется и злоумышленники могут использовать украденные карточки.

• Потеря подтверждающих документов, запоздалое представление операции - следствием этого являются финансовые потери банка-эквайера (в случае выдачи наличных) или торгового пункта при проведении рекламационной работы банками-эмитентами.

• Партнер-мошенник - злонамеренные действия предприятия, которое обслуживает клиентов по картам в соответствии с заключенным договором еквай-ринге. Например, заговор с мошенниками для использования украденной, утерянной карты, использование поддельных карточек (скимминг), белого пластика, двойной прокат слипов, открытие Internet-магазина для сбора информации по картам с целью дальнейшего мошеннического использования. Методом противодействия является тщательная проверка торгового предприятия до момента заключения договора.

Причем к риску банка, обслуживающего торговые предприятия, кроме основных убытков, добавляется возможность судебных расходов, потеря клиентов, потеря имиджа банка.

С целью уменьшения рисков по операциям эквайринга банк-эквайер должен разработать четкую и подробную процедуру предварительной проверки потенциального торговца перед заключением договора (рис. 5.11).

Банк обязательно должен информировать клиентов о принципах безопасного пользования картой, обучать владельца карточки, как он должен действовать в случае потери карточки или подозрения на ее мошенническое использование, какие правила пользования банкоматом, как хранить чеки и сверять их с выдержками из счета и оспаривать операции в течении месяца.

Схема процесса утверждения тоговцев с обычным уровнем риска

Рис. 5.11. Схема процесса утверждения тоговцев с обычным уровнем риска

В случае потери платежной карты, ее похищение или разглашение PIN-кода третьим лицам клиент должен обратиться в банк для ЕЕ блокировки в устной форме, по телефону службы круглосуточной поддержки клиентов или по телефонам сервисных центров платежных систем (рис. 5.12).

Алгоритм действий банка в случае получения сообщения о потере платежной карточки

Рис. 5.12. Алгоритм действий банка в случае получения сообщения о потере платежной карточки

Действенной мерой для повышения контроля является предоставление клиентам выписок, запросов на авторизацию на мобильный телефон или e-mail в режиме on-line.

 
< Пред   СОДЕРЖАНИЕ   След >