Перспективы развития стандарта PCIDSS
Чтобы успешно вести бизнес, сегодня необходимо смотреть на несколько шагов вперед, предугадывать грядущие проблемы. Тогда,столкнувшись с ними лицом к лицу,компания будет готова им противостоять, сможет минимизировать потери и получит конкурентные преимущества. Тот же принцип актуален для индустрии платежных карт. Тем более что она повсеместно развивается, и почти каждый человек в нашей стране имеет пластиковую карту.Таким образом, основной ценностью системыфрод-мониторинга является именно эффективный набор правил. Он может быть получен двумя путями. Во-первых, на основании накопленного опыта сотрудниками самого процессингового центра, который использует систему. Во-вторых, с помощью усвоения данных по уже пройденным транзакциямсамой системой, что является более автоматизированным подходом, в том числе исключающим возможные ошибки сотрудников.Хотя для того чтобы стать по-настоящему эффективными, подобным технологиям предстоит еще много развиваться, в долгосрочной перспективе экономический эффект от их использованияможет оказаться очень серьезным.
Грустная статистика
Но даже при наличии у организаций подобных инструментов защиты, случаев мошенничеств в России пока меньше не становится.Особенно острой данная проблема видится в связи с активным ростом рынка электронной коммерции. Очевидно, что если не предпринимать активных усилий, то объем мошеннических операций будет расти, в лучшем случае, теми же темпами. Пока так и происходит: по статистике, объем преступлений в 2010 году по сравнению с 2006 годом вырос в разы! Сохранение тенденции можетпоставить под угрозу дальнейшее развитиеэлектронной коммерции!
Причина удручающей статистики, скорее всего, кроется в том, что многие операторы услуг электронной коммерции не используют современные средства защиты от мошенничества. На рынке велика доля карт с магнитной полосой, наиболее уязвимых для клонирования. Множество банков позволяют своим клиентам (интернет-магазинам) осуществлять операции электронной коммерции, аутентифицируя покупателя только по CVV2/CVC2. в результате процент "защищенных" операций остается очень низким.
Пути решения
Думается, что стандартизацию и консолидацию усилий всех участников индустрии платежных карт по разработке и внедрению подобных средств защиты все же целесообразно также возложить на PCIDSS-сообщество. Ведь задачи их внедрения полностью соответствуют идеологии стандарта. Что еще более важно, в таком виде сертификация PCIDSS получит статус процедуры, которая действительно позволит банкам и другим участникам сообщества значительно уменьшить собственные издержки и повысить доверие клиентов.Пока затраты на доработку процессинговых систем, которые требуются для прохождения сертификации (например, в части шифрования данных), позволяют эффективно бороться все же с меньшей по масштабам проблемой внутреннего фрода и хакерских атак извне.
Конечно, внедрение современных мер защиты потребует еще больших затрат на их реализацию по сравнению с подготовкой к PCI DSS-аудиту. В первую очередь новый подход "ударит" по небольшим организациям. Но если в стандарте выделить особый уровень соответствия, включив в него требованияиспользовать основные из описанных выше технологий, то, безусловно, из популярность возрастет. Фактически начнется процесс стандартизации этих технологий, что позволит более эффективно противостоять возникающим вызовам. А значит, повысится безопасность платежей с использованием пластиковых карт.
К тому же законодательство развивается в сторону усиления ответственности поставщиков карточных сервисов. Инвестиции в защиту от мошенничества помогут банкам принять превентивные меры и тем самым минимизировать потери.
Владимир Теплыгин,
консультант по ИТ-услугам в сфере банковских карт компании "Синимекс"