Проект - Платежные карты: Бизнес-энциклопедия

Транзакционная безопасность — комплекс мер, направленных на обеспечение целостности информационного обмена между хостами и устройствами, предотвращение фальсификации данных и невозможности получения ПИН-кодов из данных транзакций. Технически обеспечивается использованием многоступенчатой системы ключей для шифрования ПИН-блоков (одноразовые сессионные ключи устройств, транспортные ключи для интерфейсов), применением MAC-кодов (Message Authentication Code) для подтверждения целостности сообщений, использованием аппаратных средств шифрования (HSM — Hardware Security Module) для хранения криптографических данных и выполнения операций трансляции и проверки ПИН-кодов.

Важное значение имеет также проверка соответствия данных транзакции данным магнитной полосы карты, а также данным, находящимся в БД процессинга — это позволяет отсекать процедуры подбора карты.

Управление рисками — заключается в использовании технических средств и организационных процедур, минимизирующих или позволяющих контролировать различные категории рисков.

К техническим средствам управления рисками можно отнести использование программно-аппаратных средств, позволяющих анализировать авторизационный траффик, базу данных с историей транзакций и сообщениями претензионного цикла и на основе правил (rule-based) или нейронных сетей детектировать различного рода атаки и вероятные мошенничества.

К организационно-техническим средствам можно отнести интерфейсы с базами данных международных платежных систем, содержащих информацию о случаях мошенничества и недобросовестной деловой практики, например, System to avoid fraud effectively (SAFE), Member alert to control high-risk (MATCH), National merchant alert system (NMAS).

К организационным средствам управления рисками можно отнести проверку и аттестацию персонала, имеющего доступ к критическим данным.

Безопасность процедур персонализации должна обеспечиваться еще на стадии проектирования центра, исходя из требований последующей сертификации в международных платежных системах. В частности, планировка и конструкция помещений должны предусматривать ряд зон (производственная зона, зона приема-передачи, зона печати ПИН-конвертов, зона хранения и т. п.), оборудованных техническими средствами ограничения доступа, мониторинга и аудита. Особое внимание также должно быть уделено подбору персонала.

В 2006 г. Советом по стандартам безопасности индустрии платежных карт (PCI Security Standards Council), образованным пятью ведущими платежными системами American Express, Discover Financial Services, JCB, MasterCard и VISA, был опубликован стандарт защиты информации в индустрии платежных карт — Payment Card Industry Data Security Standard (PCI DSS).

Данный стандарт объединяет в себе требования ряда нормативных документов платежных систем в области защиты информации, в частности:

• Visa Europe & other regions: Account information security (AIS);

• Visa USA: Cardholder information security (CISP);

• MasterCard: Site data protection (SDP).

Требования стандарта распространяются на все компании (процессинговые центры, платежные шлюзы, провайдеры интернет), работающие с международными платежными системами. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей, выполняемые сертифицированными аудиторами.

Стандарт PCI DSS устанавливает следующие области контроля и 12 основных требований, которым должна соответствовать организация для аттестации на соответствие стандарту.

I. Построение и сопровождение защищенной сети

1. Создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей карт;

2. Неиспользование уставленных по умолчанию поставщиками решений системных паролей и иных параметров безопасности.

II. Защита данных держателей карт

3. Обеспечение защиты данных держателей карт в процессе хранения;

4. Обеспечение пересылки данных держателей карт в зашифрованном виде при их передаче через незащищенные и общедоступные сети.

III. Поддержка программы управления уязвимостями

5. Использование и регулярное обновление антивирусного программного обеспечения;

6. Разработка и поддержка защищенных (безопасных) систем и приложений.

IV. Реализация мер по строгому контролю доступа

7. Ограничение доступа к данным по принципу служебной необходимости;

8. Присвоение уникального идентификатора каждому лицу, располагающему доступом к компьютеру;

9. Ограничение физического доступа к данным держателей карт

V. Регулярный мониторинг и тестирование сетей

10: Запись и отслеживание всех сеансов доступа к ресурсам сети и данным держателей карт;

11. Регулярное тестирование систем и процессов обеспечения безопасности.

VI. Поддержание политики информационной безопасности

12. Наличие и исполнение в организации политики информационной безопасности [238] Получить более подробную информацию о стандарте PCI DSS можно на сайте: www.pcisecuritystandards.org .

В приведенном разделе мы вкратце постарались осветить основные аспекты, связанные с обработкой транзакций по банковским картам — технологические вопросы организации процессинга, организационную структуру, процедуры и вопросы безопасности.

Тем не менее, не претендуя на полноту освещения данных вопросов, мы надеемся, что приведенный материал окажется полезным читателю как при общем изучении данного вопроса, так и при реализации конкретных проектов.

Терминалы, банкоматы, ПИН-пады являются фронтофисными устройствами для обслуживания банковских карт, которые устанавливаются в торгово-сервисных предприятиях (объединенных в эквайринговые сети платежных систем) и в пункты обслуживания банков (bank branch terminals ). Поскольку данное оборудование работает во взаимодействии с центрами авторизации (ЦА), их функциональность во многом зависит от применяемого в ЦА решения (например, если в ЦА предусматривается ведение бонусных счетов программ лояльности клиентов, то в терминале реализуется функционал оплаты с бонусного счета клиента). Ко всем банковским устройствам по приему карт предъявляются особые требования по безопасности, регламентируемые платежными системами обслуживаемых карт. Устройства подлежат обязательной сертификации.

Торговый терминал для обслуживания карт обслуживается как правило кассиром, но может являться и системой самообслуживания (например, автомат по продаже билетов).