Перспективы развития стандарта PCIDSS
Чтобы успешно вести бизнес, сегодня необходимо смотреть на несколько шагов вперед, предугадывать грядущие проблемы. Тогда,столкнувшись с ними лицом к лицу,компания будет готова им противостоять, сможет минимизировать потери и получит конкурентные преимущества. Тот же принцип актуален для индустрии платежных карт. Тем более что она повсеместно развивается, и почти каждый человек в нашей стране имеет пластиковую карту.Основной угрозой для всех участников индустрии платежных карт, без сомнения, является мошенничество. Только в Великобритании ущерб от мошеннических операций с пластиковыми картами за 2011 год составил 341млн фунтов, по данным Британской ассоциации по предотвращению мошенничеств (FFA).Что составляет порядка 6.1 % от общего объема операций в этой стране. К сожалению, статистика типична для многих стран.
Основные три типа мошенничестваосновываются на краже персональных данных держателя карты.Если расположить их в порядке убывания популярности среди мошенников, то получится следующая картина.Сardnotpresentfraud – осуществление операций, для которых не требуется непосредственного присутствия держателя карты. Это позволяет мошенникам, которым удалось завладеть данными, напечатанными на карте клиента, производить от его имени покупки, например в интернет магазинах. Skimming– незаметное для клиента копирование данных его карты для последующего изготовления дубликата и осуществления с помощью него операций.И на третьем месте по распространенностиокажется кража или утеря карт.
Без гарантий
К счастью, с 2004 года ответственность за стандартизацию и консолидацию мер по защите данных держателей карт взяла на себя организация PaymentCardIndustrySecurityStandardsCouncil. Она разработала известный стандарт PCIDSS, которыйсегодня включает 12 требований. Их выполнение позволяет противостоять краже и недобросовестному использованию данных держателей карт, которые хранятся в системах процессингового центра или любой другой организации, которая тем или иным образом такие данные обрабатывает.
В России платежная система VISA даже сделала разработанный стандарт обязательным к сертификации для своих членов. Поэтому ежегодно перед большинством российских организаций, так и иначе занимающихся обработкой или хранением карточных данных, возникает задача подготовки своих систем кPCIDSS-аудиту. Но парадокс ситуации в том, что на задачи, связанные с подготовкой к аудиту, выделяется львиная доля ресурсов и средств. Однако при этом организация, получившая сертификат соответствия PCIDSS, необеспечивает себе должного уровня защиты от основных типов мошеннических действий.По статистике, основной ущерб приходится на операции электронной коммерции и изготовление поддельных карт. Текущие же требования PCIDSSв большинстве случаев не позволяют их предупредить.
Методы борьбы
Участники индустрии платежных карт самостоятельно разрабатывают механизмы защиты от подобного рода преступлений.Во-первых, создан протокол 3-DSecure, чтобы обеспечить дополнительный уровень безопасности при осуществлении online-операций по кредитным и дебитным картам.Использование этого протокола позволяет реализовать при осуществлении online-платежей принцип двухфакторной аутентификации "что-то имею и что-то знаю". Такой подход, в свою очередь,сильно уменьшает риски банка-эквайера, предлагающего услуги электронной коммерции. Во-вторых, все больше выпускается чиповых карт с поддержкой динамической аутентификацией данных (DDA). Изготовление на их основе поддельных карт –трудноосуществимая сегоднязадача.
Если рассмотреть пример все той же Великобритании, которая является наиболее активным участником сообщества государств, уделяющих противодействию преступлениям в индустрии платежных карт особое внимание, то начало перехода большинства банков этой страны на эмиссию чиповых карт в 2004 году позволило уменьшить потери, связанные с изготовлением поддельных карт, в четыре раза!
Также, говоря о современных средствах противодействия угрозам, нельзя не упомянуть активно развивающиеся сейчас системы фрод-мониторинга (Fraudpreventionsystems). Они призваны распознавать мошенническую операцию непосредственно в момент попытки ее осуществления за счет заранее определенных правил.