Платежные карты: Бизнес-энциклопедия
Шрифт:
• построение и обеспечение безопасности сети;
• защита данных о держателях карт;
• обеспечение программы менеджмента уязвимостей;
• реализация строгих механизмов контроля доступа;
• регулярный мониторинг и тестирование сетей;
• обеспечение политики информационной безопасности.
Всего определяется двенадцать основных требований по всем категориям:
• установить и поддерживать конфигурацию межсетевого экранирования;
• не использовать пароли и другие параметры безопасности, определяемые поставщиками по умолчанию;
• защищать хранимую информацию;
• шифровать передаваемые данные
• использовать и регулярно обновлять антивирусное программное обеспечение;
• разрабатывать и поддерживать безопасные системы и приложения;
• ограничивать доступ к данным на основе принципа необходимого знания;
• назначить уникальный идентификатор каждому субъекту доступа к информации;
• ограничить физический доступ к данным о держателях карт;
• осуществлять мониторинг доступа к сетевым ресурсам и данным о держателях карт;
• регулярно тестировать системы и процессы безопасности;
• поддерживать политику информационной безопасности.
В настоящее время указанный стандарт обязателен для процессинговых центров, в дальнейшем его требования будут распространяться на всех участников платежных систем.
Для определения влияния мошеннических операций в ПС банка на бизнес банка необходимо оценить следующие риски:
• финансовый. Результатом проведения мошеннических операций чаще всего являются финансовые потери банка или его клиентов. В последнем случае необходимо учитывать риск потери клиента, если тот перестанет доверять сервисам, предоставляемым банком;
• репутационный. Репутации банка может быть нанесен ущерб, если предоставляемые им сервисы будут являться (или казаться) небезопасными, а принимаемые защитные меры неэффективными. Следует учитывать мнение о банке в области противодействия мошенничеству в СМИ, среди других банков, МПС, правоохранительных органов и даже мошенников.
• непрерывности бизнеса. Мошеннические операции в эквайринговой сети банка могут привести к временному прерывания бизнеса в ТСП с высоким уровнем мошенничества (в том числе как результат санкций МПС). В отношении эмиссии банк рискует потерять клиентов, которые из-за мошенничества или ввиду жестких мер по ограничению операций с банковскими картами могут вовсе отказаться от услуг банка.
Необходимым предварительным условием начала работ по управлению рисками в ПС банка является сбор первоначальной статистики по реализованным инцидентам информационной безопасности, эффективности применяемых в настоящий момент мер. Вообще сбор статистических данных должен являться постоянно осуществляемым непрерывным процессом.
Далее перечислены величины, расчет которых необходим для оценки рисков и эффективности принимаемых мер.
Эмиссия
1. Годовые и квартальные финансовые потери от мошенничества по эмиссии — общие, в расчете на одну карту, одну транзакцию, единицу валюты транзакции, по типам мошенничества, по регионам.
2. Число мошеннических операций — общее, по
3. Средняя сумма остатков на карточных счетах — общая, по типам продуктов.
4. Статистические профили держателей карт.
5. Статистика по использованию сервиса управления картой через мобильный телефон — SMS оповещение о проведенных операциях и управление лимитами и статусом карты.
6. Статистическая обработка совершенных мошеннических операций.
Эквайринг
1. Годовые и квартальные финансовые потери от мошенничества — общие, в расчете на один терминал, одну транзакцию, единицу валюты транзакции, по категориям ТСП, по регионам.
2. Число мошеннических операций — общее, по категориям ТСП, по регионам.
3. Оборот в эквайринговой сети — общий, по категориям ТСП, по регионам.
4. Статистические профили ТСП.
5. Статистическая обработка совершенных мошеннических операций.
Обязательные требования МПС
Банк как участник МПС обязан выполнять перечень процедур для контроля мошенничества. Невыполнение установленных требований приводит к штрафам, подрыву репутации банка и, в худшем случае, к отзыву лицензии участника МПС.
VISA определяет следующие нарушения, за которые предусмотрены санкции:
1. Превышение уровня мошенничества по ТСП. Торгово-сервисная компания попадает в Глобальную программу мониторинга опротестований по торговцам (Global Merchant Chargeback Monitoring Programme), если любая из ее точек достигает или превышает все следующие месячные лимиты для международных транзакций:
• 200 опротестований;
• 200 транзакций;
• уровень опротестованных транзакций составляет 2 %.
После попадания в программу эквайрер платит по 100 долл. за каждую опротестованную транзакцию по каждому ТСП торгово-сервисной компании, попавшей в программу. Штраф может быть установлен VISA в 200 долл., если не предпринимаются меры по исправлению ситуации.
2. Несоответствие эмитента требованиям риск мониторинга. Эмитент, не соответствующий правилам мониторинга, определенным в Операционных правилах VISA по региону CEMEA раздел 2.7, в конце каждого финансового квартала будет выплачивать штраф, размер которого зависит от объема транзакций и варьируется от 6000 до 25 000 долл.
3. Несоответствие эквайрера требованиям риск мониторинга. Эквайрер, не соответствующий правилам мониторинга, определенным в Операционных правилах VISA по региону CEMEA разд. 2.6, в конце каждого финансового квартала будет выплачивать штраф, размер которого зависит от объема транзакций и варьируется от 6000 до 25 000 долл.
4. Превышение уровня мошенничества по эквайреру. К ниме относятся эквайреры, у которых квартальные потери от мошенничества превышают 50 000 долл. и уровень мошенничества выше 0,35 % (не учитываются мошеннические операции получения наличных, мошеннические операции по неполученным картам и картам, выданным по поддельным заявлениям). В течение первых четырех кварталов штраф составляет 5000 долл., за пятый, шестой и седьмой — 50 000 долл., далее Комитет CEMEA рассматривает вопрос об отзыве эквайрерской лицензии.