Платежные карты: Бизнес-энциклопедия

Проект

По типу анализируемых транзакций подразделяются на два класса.

1. Эмиссионные.

2. Эквайринговые.

Система мониторинга транзакций является инструментом управления рисками, связанными с проведением мошеннических операций по банковским картам, и должна быть составной частью комплексного подхода к обеспечению безопасности платежной системы банковских карт банка.

Выбор той или иной системы мониторинга должен основываться на анализе существующих рисков. Система должна быть управляемой и эффективной с целью минимизирования финансовых потерь банка и держателей карт, недовольства клиентов и повышения доверия к банку.

Обязательные

критерии мониторинга со стороны международных платежных систем

Международные платежные системы VISA и MasterCard сформулировали ряд критериев для обязательного мониторинга операций для эквайеров и эмитентов. Невыполнение требований по обязательному мониторингу влечет за собой санкции и штрафы со стороны МПС.

Мониторинг операций эквайером

Данные по транзакциям анализируются для каждой торговой точки, обслуживаемой эквайрером, отдельно по финансовым (клиринговым) транзакциям и авторизационным транзакциям. Для оценки активности используются данные по всем МПС, с которыми работает эквайрер.

Мониторинг авторизационных транзакций

Эквайрер должен отслеживать все авторизационные запросы, как успешные, так и неуспешные (табл. 1). В ходе мониторинга должны анализироваться следующие данные:

• сумма транзакции;

• количество транзакций;

• код ответа на авторизацию;

• номер карты;

• время и дата транзакции;

• параметры приема карты.

Мониторинг клиринговых транзакций

Эквайрер должен осуществлять мониторинг транзакций следующих типов (табл. 2):

• авторизационные запросы и ответы;

• покупки;

• операции кредитования и возврата;

• снятие наличных;

• опротестование операций с кодами причин.

Мониторинг операций эмитентом

Мониторинг позволяет банкам-эмитентам отслеживать попытки проведения мошеннических транзакций по картам банка и принимать меры для уменьшения рисков (табл. 3).

По требованиям MasterCard эквайрер должен предпринимать дополнительные меры контроля потерь от мошенничества, если уровень мошенничества в базисных точках (basis points) в 2 раза превышает средний по MasterCard и годовые потери превышают 200 000 долл.

MasterCard рекомендует также осуществлять мониторинг следующих событий и параметров:

• атаки по сгенерированным номерам карт;

• отрицательные результаты проверок CVC1 и CVC2;

• операции по картам с истекшим сроком действия;

• транзакции по неверным номерам карт;

• CAT транзакции;

• транзакции в возможных точках компрометации;

• операции кредитования и отмены авторизации торговой точкой;

• списки неиспользуемых карт.

Требования

МПС относятся, прежде всего, к off-line мониторингу, иные варианты мониторинга в настоящий момент не являются обязательными. В связи с этим банк должен разработать собственную политику управления рисками в ПС и выбрать ту систему мониторинга, которая соответствует принятой политике, а не просто внедрить наиболее функциональное на данный момент техническое решение. Кроме того, необходимо добиться допустимого баланса между следующими показателями:

• принятие неадекватных решений по ограничению операций для не мошеннических операций;

• пропуск мошеннических операций;

• число сообщений, генерируемых системой мониторинга, об операциях, не являющихся мошенническими;

• величины рисков в ПС с учетом работы системы мониторинга и принимаемых на ее основе решений.

Особенности мониторинга некоторых операций

1. Операции в разных странах в установленный интервал времени. Операции по поддельной карте, используемой в стране, отличной от той, в которой совершает операции сам клиент, могут быть обнаружены с помощью системы мониторинга. Для оценки принципиальной возможности нахождения клиента в двух странах в моменты совершения двух операций необходимо учитывать:

• расстояние между городами совершения операции;

• минимальное время, за которое можно переместиться между двумя точками.

Если времени между операциями оказывается слишком мало для того, чтобы настоящий держатель переместился из одной точки в другую, то имеет место мошенничество по поддельной карте.

2. Неавторизованные мошеннические операции по поддельным картам. Неудачные попытки проведения операций по поддельным картам являются своеобразным «подарком» со стороны мошенников — сам факт мошенничества может быть выявлен системой мониторинга и будут приняты меры, при этом счет клиента не пострадает.

3. Операции в банкоматах по зарплатным картам. По настоящее время объем операций по снятию наличных денежных средств в банкоматах в России составляет большую часть всех операций (свыше 90 %), при этом часто карты получаются в рамках зарплатных проектов. Поэтому нередко бывает так, что карта используется клиентом как своеобразная «сберегательная книжка» — деньги просто накапливаются на счете, а затем снимаются в банкоматах за небольшой интервал времени. С точки зрения нехарактерного поведения для держателя банковской карты эти операции могут быть расценены как мошеннические, хотя на самом деле таковыми не являются.

Вывод

Система мониторинга транзакций ПС должна быть необходимым элементом комплекса мер, принимаемых для обеспечения информационной безопасности. Для управления рисками в ПС, связанными с мошенничеством, необходимо организовать непрерывный процесс сбора и анализа статистики, на основе которой можно проводить оценку рисков, предпринимать меры для их обработки и формально оценивать влияние принимаемых решений на величины рисков.