Вход для зарегистрированных пользователей
логин
пароль
регистрация
забыли пароль?
Еще не зарегистрировались?

Дайджест

07 ноября 2017
Стороны договорились о реализации поддержки работы с устройствами Рутокен в решениях на платформе UserGate. Растущая сфера …
25 октября 2017
Атака "Badrabbit" стала одной из самых крупных за последние несколько месяцев. Данный троян-шифровальщик похож на …
24 октября 2017
Фирма «АНКАД» получила патент на изобретение «Компьютерная система с удаленным управлением сервером и устройством создания …
Контур-Фокус – быстрая проверка контрагентов

НИП "Информзащита"

Оказание услуг по обеспечению информационной безопасности автоматизированных систем различного назначения и любого уровня сложности
Тел.: +7 (495) 980-23-45
Сайт: www.infosec.ru
E-mail: promo@infosec.ru
Контактная информация: О компании
Регионы работы: Москва
Новость
НИП "Информзащита": Платежные карты – взгляд изнутри
28 марта 2014

НИП "Информзащита": Платежные карты – взгляд изнутри

На  прошлой неделе, по сообщениям средств массовой информации, международные платежные системы Visa и MasterCard прекратили обслуживание платежных карт, выпущенных рядом российских банков. Событие вызвало большой резонанс среди пользователей платежных карт и повлекло за собой массовое снятие наличных средств.

Такие последствия возникли, однако, не от реальной угрозы, а в результате недостаточной информированности клиентов об организации платежных систем и принципах обработки безналичных платежей. Ниже я постараюсь в общих чертах дать представление о том, как устроен процесс обслуживания карт, и от чего он зависит.

Как «ходят» деньги

Перед выдачей владельцу персональной платежной (пластиковой, банковской, кредитной) карты в банке оформляется счет на имя клиента. Обычно счет открывается в рамках зарплатного проекта, либо по заявлению клиента.

После открытия счета для клиента изготавливается платежная карта. Изготовление карты происходит в помещениях ограниченного доступа, ряд процессов совершается в автоматическом режиме. Каждая карта имеет свой уникальный номер, срок действия (обычно 2-3 года), имя владельца, а также проверочное значение, указываемое на обороте карты. Это значение используется для совершения операций по оплате без предъявления карты, например, в интернете. Вместе с картой клиенту передается пин-конверт, содержащий значение пин-кода карты. Стоит заметить, что печать пин-конвертов осуществляется без участия сотрудников банка, поэтому предполагается, что значение пин-кода знает только владелец карты.

Платежная карта представляет собой удобный инструмент для доступа владельца к своему счету в банке. А функция международных платежных систем состоит в обеспечении возможности использования платежных карт вне зависимости от места проведения операций.

Рассмотрим обычную ситуацию оплаты картой товаров в торговом центре:

babenko_28_03_2014_1

Покупатель оплачивает товары с использованием карты, которую кассир считывает с помощью платежного терминала. Данные карты и информация о покупке переправляются в банк, обслуживающий данный терминал. Как правило, обслуживающий банк не совпадает с банком, выпустившим платежную карту, и потому не может проводить операции со счетом клиента. В этом случае в дело включаются платежные системы. Обслуживающий банк передает всю информацию в платежную систему, где по первым шести цифрам номера карты определяется выпустивший карту банк, и ему передаются исходные данные. В конечном итоге информация о намерении совершить покупку рассматривается именно в том банке, где открыт счет покупателя.

Когда клиент снимает наличные средства в банкомате банка, выпустившего платежную карту, схема становится на два звена короче:

babenko_28_03_2014_2

В этом случае банкомат подключен напрямую к банку, в котором открыт счет держателя карты, и необходимость в запросе дополнительной информации отсутствует. Аналогичная ситуация наблюдается и при оплате через платежный терминал, принадлежащий банку, который выпустил карту.

Кроме того, достаточно часто используются схемы объединения банкоматной сети с банками-партнерами. В таком случае взаимодействие между банками устанавливается напрямую, без участия платежных систем:

babenko_28_03_2014_3

Таким образом, прекращение обслуживания платежных карт со стороны платежных систем свидетельствует лишь о невозможности совершать покупки и снимать наличные средства с использованием карт через терминалы сторонних банков. Это никоим образом не влияет на сохранность средств клиентов и возможность дальнейшего использования карты для снятия наличных средств в банкоматах выпустившего карту банка.

Платежную карту можно рассматривать как ключ к счету. При этом утеря ключа вовсе не означает потерю того, что хранится под замком. Ситуацию, скорее, можно сравнить с потерей возможности открыть некоторые двери.

Как строится процессинг

Несмотря на всю простоту описанной выше схемы, реализация приема и обработки платежных карт представляет собой длительный кропотливый процесс. Он требует глубоких технических знаний в области функционирования платежных систем.

Одной из главных задач при организации собственного процессинга (деятельности по обработке и выпуску платежных карт) является обеспечение безопасности обрабатываемых данных.

Выпуск и проверка «ключей» к счетам клиентов, несомненно, вызывают повышенный интерес со стороны киберпреступников. Это хорошо осознают платежные системы, поэтому деятельность процессинговых центров жестко регламентируется.

Собственный обширный опыт аудита информационных систем позволяет говорить о том, что  причиной проблем часто является упущение вопросов информационной безопасности на самом старте и попытка вернуться к ним на этапе готового решения. В качестве сравнения можно привести строительство дома без предварительного расчета фундамента. К моменту, когда становится очевидно, что фундамент не выдерживает, затраты на доработку и исправление ошибок, не учтенных на старте, многократно превышают стоимость их решения.

При построении собственного процессинга следует исходить из тех же принципов. На этапе проектирования необходимо предусмотреть возможные риски, в том числе со стороны платежных систем, учесть угрозы информационной безопасности, существующие требования. Такой подход позволит не только избежать непредвиденных ситуаций в дальнейшем, но и сократить время и итоговую стоимость реализации проекта.

Автор: Алексей Бабенко

Должность: руководитель направления отдела безопасности банковских систем компании «Информзащита»


Поделись ссылочкой:


©   ООО «Инфосекьюрити»
Тел.: +7 (495) 231-4831   +7 (495) 778-4675Адрес:  Москва, Б.Семеновская, 49


PROFLINE - сайты на Битрикс