Проект - Платежные карты: Бизнес-энциклопедия
- Название:Платежные карты: Бизнес-энциклопедия
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Проект - Платежные карты: Бизнес-энциклопедия краткое содержание
Платежные карты: Бизнес-энциклопедия - читать онлайн бесплатно полную версию (весь текст целиком)
Интервал:
Закладка:
В настоящий момент сертификация, проводимая системой VISA для банков — эквайеров стала де-факто обязательной для получения эквайринговой лицензии в области электронной коммерции. MasterCard не требует обязательной сертификации банков — эквайеров, но они, как правило, для обеспечения безопасности системы в целом по своей воле проводят полную сертификацию. Сертификация банков-эмитен-тов в области электронной коммерции в настоящий момент обязательна только в случае использования компоненты ACS и протокола 3D-Secure.
Безопасность использования платежных сервисов это один из самых важных вопросов в области электронной коммерции. Прежде всего, необходимо понять какие риски могут быть применимы к каждому из участников в процессе использования электронного платежного сервиса. Вот, далеко не полный перечень рисков, которым подвергаются участники:
• риски клиента:
• неполучение услуги или получение услуги несоответствующей требованиям качества;
• дискредитация платежного средства клиента; риски продавца:
• отказ клиента от оказанной услуги;
• Риски эквайера:
• оказание авторизационных услуг «плохому» продавцу;
• оказание авторизационных услуг «плохому» клиенту;
• Риски эмитента:
• оказание услуг авторизации лицу, не имеющему права использования данного платежного средства;
• оказание услуг авторизации «плохому» клиенту;
«Плохой клиент» — это не только клиент, который отказался от услуги и требует возврата денег (как правило, такие инциденты решаются силами продавца или поставщика услуг). Данный термин, скорее, относится к мошенникам или, выражаясь юридически, — людям, целенаправленно использующим не принадлежащие им средства платежа (в общем случае неважно, что это за средство платежа — карта или любое другое средство доступа к счету). Проблема «плохого клиента», как известно, не нова, появление таких клиентов провоцируют два фактора: анонимность и относительная безнаказанность (далеко не всякого карточного мошенника имеет смысл ловить). Решение этой проблемы может лежать в создании четкой системы обеспечения безопасности электронной коммерции, которая должна включать в себя:
• правила оценки и ограничения возможности нелегитимного использования платежных средств (фрод-мониторинг и аутентификация);
• создание экономической базы защиты анонимных платежей.
Экономическая база защиты анонимных платежей предусматривает ограничение возможности клиента совершения платежа в анонимном режиме. Это означает, что клиент может совершить ограниченное число попыток такого платежа на небольшую сумму. Таким образом, использование анонимных платежей для кардеров становится просто невыгодным, а значит малоинтересным (именно поэтому большинство систем электронных платежей стремятся максимально ограничить возможности анонимных клиентов).
Фрод-мониторинг, безусловно, важная часть систем электронной коммерции. В основе систем фрод-мониторинга лежат два механизма: (1) статические фильтры и (2) анализ данных накопленных транзакций с целью поиска платежей с высоким риском фрода. Статические фильтры — это наиболее простой метод снижения риска платежных операций. Как правило, фильтры являются частью политики безопасности, согласованной торговой точкой и платежным сервисом. Анализ данных накопленных транзакций может выявить последовательность транзакций «плохого клиента», которая вызывает опасения (например, использование карт нескольких стран одновременно).
Аутентификация клиента обеспечивает легитимность использования платежного средства.
Классическим методом, используемым для аутентификации клиента, до сих пор является сочетание данных уникального имени, в качестве которого, как правило, используется номер карты и пароля, указываемого клиентом в момент регистрации в системе электронных платежей. К сожалению, данный метод не является достаточно безопасным для использования его в качестве универсального метода аутентификации в сервисах электронной коммерции в целом. В последнее время все более широкое развитие получают методы формирования уникального одноразового пароля, к таким методам относятся алгоритмы One Time Password (OTP). Методы OTP относятся к методам двух-факторной аутентификации. В основе данных методов лежит алгоритм формирования криптограммы на основе секретного ключа, который расположен на безопасном носителе (например смарт-карта) — 1 фактор, а также ПИН кода клиента, для доступа к данным носителя — 2 фактор, и последующего представления этой криптограммы в виде так называемого «токена» — набора десятичных либо символьных знаков (слов). Токен необходим для возможности быстрого и безошибочного ввода данных пароля в системах аутентификации.
В настоящий момент наибольший интерес при использовании карт международных платежных систем в качестве средства платежа, может представлять реализация OTP в виде отдельного приложения на карте. Для получения одноразового пароля достаточно воспользоваться картой, обладающей таким приложением и специального устройства в виде брелка, которое осуществляет проверку PIN-кода карты и отображение одноразового пароля на жидкокристаллическом экране (как правило, это 6–8 значные десятичные числа).
Платежные системы VISA и MasterCard обладают собственными реализациями такого приложения, построенного на базе стандарта Chip Authentication Program (CAP) MasterCard, для платежной системы Visa такое приложение носит название Dynamic Passcode Authentication (DPA). Данное приложение построено на базе стандарта EMV и может быть размещено на платежной карте совместно с основным платежным приложением, что дает возможность банку-эмитенту использовать карту и как платежное средство и как средство аутентификации клиента для доступа к сервисам, требующим строгой аутентификации. Таким образом, смарт-карта является действительно универсальным средством доступа к счету клиента. Изменение схемы взаимодействия клиента с ACS в платежных системах, использующих протокол 3D-Secure, показано на рис. 4.
4а — передача клиенту формы для аутентификации; 4b — ввод данных для формирования криптограммы (токена) (выполняется при помощи дополнительного устройства); 4с — ввод данных токена в форму аутентификации; 4d — передача данных токена серверу ACS и проверка данных криптограммы.
В заключение хочется отметить одну важную деталь. Использование сложных многофакторных систем аутентификации, безусловно, повышает безопасность систем электронной и мобильной коммерции, но не решает всех вопросов безопасности. Системы аутентификации не позволяют защищать пользователя и систему от атак типа: «man — in the — middle» (злоумышленник находится между пользователем и сервисом электронных платежей и может совершать действия от имени пользователя в рамках уже инициализированной сессии), для защиты в данном случае, необходимо использовать протоколы защиты канала SSL/TLS. Также необходимо защищать систему от атак с использованием программ — «Троянов», которые позволяют контролировать действия клиента непосредственно на его компьютере. Защитой в данном случае может служить использование альтернативного канала подтверждения операции (например, SMS уведомление с данными проведенной операции). В случае несанкционированных действий мошеннику сложно проследить действия пользователя по альтернативному каналу.
Читать дальшеИнтервал:
Закладка:
