28 марта 2014
НИП "Информзащита": Платежные карты – взгляд изнутри
На прошлой неделе, по сообщениям средств массовой информации, международные платежные системы Visa и MasterCard прекратили обслуживание платежных карт, выпущенных рядом российских банков. Событие вызвало большой резонанс среди пользователей платежных карт и повлекло за собой массовое снятие наличных средств.
Такие последствия возникли, однако, не от реальной угрозы, а в результате недостаточной информированности клиентов об организации платежных систем и принципах обработки безналичных платежей. Ниже я постараюсь в общих чертах дать представление о том, как устроен процесс обслуживания карт, и от чего он зависит.
Как «ходят» деньги
Перед выдачей владельцу персональной платежной (пластиковой, банковской, кредитной) карты в банке оформляется счет на имя клиента. Обычно счет открывается в рамках зарплатного проекта, либо по заявлению клиента.
После открытия счета для клиента изготавливается платежная карта. Изготовление карты происходит в помещениях ограниченного доступа, ряд процессов совершается в автоматическом режиме. Каждая карта имеет свой уникальный номер, срок действия (обычно 2-3 года), имя владельца, а также проверочное значение, указываемое на обороте карты. Это значение используется для совершения операций по оплате без предъявления карты, например, в интернете. Вместе с картой клиенту передается пин-конверт, содержащий значение пин-кода карты. Стоит заметить, что печать пин-конвертов осуществляется без участия сотрудников банка, поэтому предполагается, что значение пин-кода знает только владелец карты.
Платежная карта представляет собой удобный инструмент для доступа владельца к своему счету в банке. А функция международных платежных систем состоит в обеспечении возможности использования платежных карт вне зависимости от места проведения операций.
Рассмотрим обычную ситуацию оплаты картой товаров в торговом центре:
Покупатель оплачивает товары с использованием карты, которую кассир считывает с помощью платежного терминала. Данные карты и информация о покупке переправляются в банк, обслуживающий данный терминал. Как правило, обслуживающий банк не совпадает с банком, выпустившим платежную карту, и потому не может проводить операции со счетом клиента. В этом случае в дело включаются платежные системы. Обслуживающий банк передает всю информацию в платежную систему, где по первым шести цифрам номера карты определяется выпустивший карту банк, и ему передаются исходные данные. В конечном итоге информация о намерении совершить покупку рассматривается именно в том банке, где открыт счет покупателя.
Когда клиент снимает наличные средства в банкомате банка, выпустившего платежную карту, схема становится на два звена короче:
В этом случае банкомат подключен напрямую к банку, в котором открыт счет держателя карты, и необходимость в запросе дополнительной информации отсутствует. Аналогичная ситуация наблюдается и при оплате через платежный терминал, принадлежащий банку, который выпустил карту.
Кроме того, достаточно часто используются схемы объединения банкоматной сети с банками-партнерами. В таком случае взаимодействие между банками устанавливается напрямую, без участия платежных систем:
Таким образом, прекращение обслуживания платежных карт со стороны платежных систем свидетельствует лишь о невозможности совершать покупки и снимать наличные средства с использованием карт через терминалы сторонних банков. Это никоим образом не влияет на сохранность средств клиентов и возможность дальнейшего использования карты для снятия наличных средств в банкоматах выпустившего карту банка.
Платежную карту можно рассматривать как ключ к счету. При этом утеря ключа вовсе не означает потерю того, что хранится под замком. Ситуацию, скорее, можно сравнить с потерей возможности открыть некоторые двери.
Как строится процессинг
Несмотря на всю простоту описанной выше схемы, реализация приема и обработки платежных карт представляет собой длительный кропотливый процесс. Он требует глубоких технических знаний в области функционирования платежных систем.
Одной из главных задач при организации собственного процессинга (деятельности по обработке и выпуску платежных карт) является обеспечение безопасности обрабатываемых данных.
Выпуск и проверка «ключей» к счетам клиентов, несомненно, вызывают повышенный интерес со стороны киберпреступников. Это хорошо осознают платежные системы, поэтому деятельность процессинговых центров жестко регламентируется.
Собственный обширный опыт аудита информационных систем позволяет говорить о том, что причиной проблем часто является упущение вопросов информационной безопасности на самом старте и попытка вернуться к ним на этапе готового решения. В качестве сравнения можно привести строительство дома без предварительного расчета фундамента. К моменту, когда становится очевидно, что фундамент не выдерживает, затраты на доработку и исправление ошибок, не учтенных на старте, многократно превышают стоимость их решения.
При построении собственного процессинга следует исходить из тех же принципов. На этапе проектирования необходимо предусмотреть возможные риски, в том числе со стороны платежных систем, учесть угрозы информационной безопасности, существующие требования. Такой подход позволит не только избежать непредвиденных ситуаций в дальнейшем, но и сократить время и итоговую стоимость реализации проекта.
Автор: Алексей Бабенко
Должность: руководитель направления отдела безопасности банковских систем компании «Информзащита»