Безопасность карточного бизнеса - страница 75

Из формул (1) и (8) следует, что

где SFR^{>под. ПИН} — риск по поддельной карте при известном злоумышленнику ПИН-коде;

S^>БКМ_>сум — доступные средства на счете клиента для проведения операций в банкоматах.

Величина S^>БКМ_>сум может не равняться доступной сумме для совершения операций по счету карты, поскольку могут быть установлены лимиты на совершение операций в ТСП, которые в данном случае и будут являться ограничением для величины потерь по мошенническим операциям такого типа.

Исходя из формул (3), (6) и (9) риск по поддельной карте рассчитывается следующим образом:

Требования МПС к безопасности операций электронной коммерции формулируются следующим образом:

• должна обеспечиваться взаимная аутентификация участников покупки;

• реквизиты платежной карты (номер карты, срок действия, коды верификации CVC2/CVV2 и т. п.), используемой при проведении транзакции, должны быть конфиденциальны для ТСП;

• невозможность отказа от операции для всех участников транзакции.

Первый протокол, удовлетворяющий этим требованиям, — протокол безопасных электронных транзакций Secure Electronic Transaction (SET). Высокая стоимость его реализации и сложность внедрения не позволяют использовать его повсеместно в современных условиях.

На сегодняшний день ведущие МПС поддерживают единственный протокол безопасной электронной коммерции — 3D Secure. Если операция без присутствия карты проведена без использования защищенного протокола, то ответственность за мошенничество возлагается на обслуживающий банк.

Тем не менее до сих пор большая часть операций в Интернете проводится без использования безопасных протоколов. Часто для проведения операции в интернет-магазине достаточно просто номера карты и дополнительно срока действия, кода верификации карты CVC2/CVV2.

Серьезной проблемой является кража данных о реквизитах карт с серверов интернет-магазинов. Несмотря на запреты МПС, банки-эквайреры и интернет-магазины хранят в своих системах номера карт, сроки действия, CVV2/CVC2, иные данные, используемые при осуществлении транзакций. Исследования, проведенные VISA USA, показали, что в США 37 % ТСП продолжают хранить в своих системах данные по обслуживаемым картам. Интересные данные были представлены сотрудниками компании Trustwave на проводившейся с 14 по 16 сентября 2008 г. конференции MICROS Users Conference в Аннаполисе, США, по результатам анализа 400 инцидентов, связанных с компрометацией данных платежных карт. Основные результаты исследования:

• большинство инцидентов (9 из 10) связаны с небольшими ТСП;

• только 69 % атак было осуществлено с присутствием карты, т. е. 31 % — без присутствия карты;

• наиболее атакуемым звеном технологии является ПО торгового терминала (67 %), далее следуют атаки на интернет-магазины (25 %).

Из сказанного можно сделать несколько важных выводов:

• возможна компрометация данных банковских карт после проведения легальных операций в интернет-магазинах из-за хранения этих данных в автоматизированных системах этих магазинов;

• если интернет-магазин и банк-эквайрер поддерживают безопасный протокол 3D Secure, то ответственность за мошенническую операцию, как правило, лежит на эмитенте.

Определим

Из формул (3) и (11) следует, что риск по операциям с отсутствием карты:

Риск складывается из:

• риска, связанного с использованием персональных данных держателя карты или информации по его счету для открытия нового счета, и

• риска, связанного с захватом уже открытого счета.

Данный риск можно вывести за рамки применения СМТ.

Для регистрации всех фактов, связанных с компрометацией данных и проведением мошеннических операций, автором предлагается обеспечить хранение данных в таблицах базы данных (БД). Предлагаемый формат позволит фиксировать все аспекты, связанные с мошенничеством в ПСБК, что используется для подготовки регулярных отчетов по текущему уровню мошенничества и расчета величин, необходимых для получения количественной оценки рисков (рис. 3.3).