А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия
- Название:Безопасность карточного бизнеса : бизнес-энциклопедия
- Автор:
- Жанр:
- Издательство:Московская финансово-промышленная академия; ЦИПСиР
- Год:2012
- Город:Москва
- ISBN:978-5-4257-0018-6
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия краткое содержание
В книге дано подробное описание политики безопасности на всех этапах жизненного цикла банковской карты — от цеха, где производится пластиковая заготовка будущей карты, до торговой и сервисной сферы, где карта принимается к оплате. Отдельно рассмотрены международные стандарты PSI DSS и практика их применения. Дана классификация карточных рисков, изложена методика оценки рисков эмитента с использованием мониторинга карточных транзакций. Подробно описаны виды карточного мошенничества и методы его профилактики. Отдельные главы посвящены претензионной работе по операциям с банковскими картами и обеспечению безопасности процессингового центра. Проанализировано действующее российское законодательство, изложена судебная практика с подробным описанием уголовных дел, связанных с карточным мошенничеством, доведенных до суда. Даны общие рекомендации по информационной безопасности корпоративной системы банка как фундамента безопасности карточного бизнеса.
Книга ориентирована на сотрудников карточных подразделений, отделов информационной безопасности коммерческих банков, специалистов процессинговых центров, правоохранительных органов, занимающихся уголовными делами по карточному мошенничеству, руководящего персонала супермаркетов, прочих торговых организаций, студентов финансовых вузов.
Безопасность карточного бизнеса : бизнес-энциклопедия - читать онлайн бесплатно полную версию (весь текст целиком)
Интервал:
Закладка:
В то же время североамериканские эмитенты не спешат в большинстве своем мигрировать на чип, разительного удешевления EMV технологий за последнее десятилетие также не произошло. Можно с большой уверенностью говорить, что и в следующие десять лет карты с магнитной полосой, а также гибридные (с магнитной полосой и микропроцессором), не уйдут со сцены. Это означает, что вопросы безопасности карточного бизнеса для всех его участников останутся по-прежнему актуальными. Как уже говорилось, самостоятельные действия отдельно взятой кредитной организации или процессингового центра по обеспечению собственной безопасности сильно ограничены. Именно поэтому платежными системами разработаны и активно лоббируются меры, направленные на коллективную защиту всех участников индустрии безналичных платежей. Речь идет о единых стандартах платежных систем VISA Inc. и MasterCard Worldwide, определяющих требования по информационной безопасности и средства контроля за их повсеместным применением. Основной стандарт — Payment Card Industry Data Security Standard (PCI DSS), будет подробно описан в данной книге профильными специалистами. В завершение главы — обобщающий итог исходя из опыта защиты от мошенничества для банка-эмитента и банка-эквайрера.
1. Действующая политика обеспечения безопасности эмиссии карт, устанавливающая обязанности и полномочия всех задействованных в процедурах выпуска и обслуживания банковских карт подразделений банка по защите от мошенничества, распределение зон и степени их ответственности.
2. Действующие процедуры проверки клиентских заявлений на выпуск карт.
3. Действующие регламенты по безопасной транспортировке, хранению, выдаче карт и ПИН-конвертов, уничтожению невостребованных карт и ПИН-конвертов. Обеспечение условия раздельной доставки и хранения карт и ПИН-конвертов. Пересылка карт только в заблокированном от использования виде.
4. Контроль и бухгалтерский учет заготовок карт, а также изготовленных, выданных и уничтоженных карт.
5. Соответствие процедур key-management [4] Key-management — процедуры управления криптографическими ключами: генерация, хранение, доставка, использование и замена ключей для криптосистем с соблюдением требований обеспечения безопасности.
, персонализации карт, печати ПИН-конвертов, хранения заготовок карт требованиям и стандартам международных платежных систем.
6. Использование систем он-лайн мониторинга авторизационного трафика с возможностью анализа и принятия решения по подозрительным операциям с целью минимизации рисков (отказ в авторизации, блокировка карты, установление лимитов по операциям).
7. Использование систем мониторинга транзакционной активности по клиринговым сообщениям, в том числе сообщениям претензионного цикла, и принятие решения по подозрительным операциям с целью минимизации рисков (блокировка карты, установление лимитов по операциям).
8. Мониторинг оповещений международных платежных систем (Security bulletins, Fraud Reporting: SAFE, FRS).
9. Обязательное обучение держателей карт правилам безопасного хранения и использования карт. Бесплатное предоставление держателям карт средств самостоятельного контроля операций (смс-информирование).
10. Обязательное обучение сотрудников банка, задействованных в процедурах выпуска и обслуживания банковских карт, мерам по защите от мошенничества.
11. Перевод эмиссии на микропроцессорные карты с правилом обслуживания Chip&PIN, поддержка протокола 3D Secure на стороне эмитента.
12. Страхование рисков карточного бизнеса банка от мошенничества со стороны третьих лиц.
13. Блокировка и перевыпуск скомпрометированных карт банка.
14. Выполнение требований стандартов безопасности карточных систем PCI DSS.
1. Действующая политика обеспечения безопасности терминальной сети для обслуживания карт, устанавливающая обязанности и полномочия всех задействованных в процедурах развития и эксплуатации терминальной сети подразделений банка по защите от мошенничества, распределение зон и степени их ответственности.
2. Действующие процедуры проверки заявлений ТСП перед заключением договоров.
3. Периодическая инспекция ТСП — посещение сотрудника банка, проверка на соответствие характера деятельности ТСП заявленному в заявлении.
4. Использование систем он-лайн мониторинга авторизационного трафика с возможностью анализа и принятия решения по подозрительным операциям с целью минимизации рисков (отказ в проведении операции, блокировка терминала).
5. Использование систем мониторинга транзакционной активности по клиринговым сообщениям, в том числе сообщениям претензионного цикла, и принятие решения по подозрительным операциям с целью минимизации рисков (блокировка терминала, блокировка ТСП).
6. Организация мониторинга программной, аппаратной и коммуникационной составляющих банкоматной сети на подверженность мошенническим воздействиям.
7. Соответствие процедур key-management требованиям международных платежных систем, криптозащита информации, передаваемой через публичные коммуникационные сети.
8. Мониторинг оповещений международных платежных систем (Security bulletins, Fraud Reporting: SAFE, FRS, RIS, NMAS, MATCH).
9. Поддержание базы данных ТСП, договоры с которыми были расторгнуты или заявления на обслуживание в банке были когда-либо отклонены.
10. Поддержка протокола 3D Secure на стороне эквайрера, поддержка EMV в банкоматной и POS-терминальной сети.
11. Обязательное обучение работников ТСП правилам приема и обслуживания банковских платежных карт, стандартам безопасности международных платежных систем, выявлению и пресечению попыток использования поддельных и украденных карт. Разъяснение правовой ответственности за соучастие в мошенничестве с платежными картами, персональной ответственности работников ТСП за соблюдение правил банка и УК РФ.
12. Обязательное обучение сотрудников банка, задействованных в развитии и эксплуатации терминальной сети, мерам по защите от мошенничества.
13. Страхование рисков карточного бизнеса банка от мошенничества со стороны третьих лиц.
14. Выполнение требований стандартов безопасности карточных систем PCI DSS.
По нашим оценкам, основанным на анализе данных платежных систем, в 2009 г. потери от криминальных посягательств на финансовые средства в сфере оборота платежных карт во всем мире составили порядка 7 млрд долл. США, в то время как в 2007 г. эти потери составляли 5,8 млрд долл.
Читать дальшеИнтервал:
Закладка:
