Платежные карты: Бизнес-энциклопедия
Шрифт:
В то же время по данным MasterCard в июле 2007 г. примерно 22 % всех операций ЭК в Европе производилось в магазинах, поддерживающих 3D Secure. При этом, в примерно 6 % всех операций 3D Secure поддерживался как со стороны торговых предприятий и обслуживающих банков, так и со стороны эмитентов карт.
Многие обслуживающие банки (онлайновые магазины) применяют в своих системах дополнительные проверки при обработке транзакций ЭК. К таким проверкам относятся:
• проверка адреса держателя карты (address verification system); предоставление для проверки эмитенту значений CVV2/CVC2;
• проверка
• контроль количества транзакций, выполненных по карте в течение определенного промежутка времени (card number frequency check);
• проверка на совпадение страны адреса доставки товаров со страной, резидентом которой является банк, выдавший карточку (country match). Страна, резидентом которой является банк, определяется по значению идентификационного номера банка (bank identification number, или BIN);
• проверка IP-адреса (или сетки адресов), с которого была инициирована транзакция, на предмет его нахождения в черном списке (block IP address);
• проверка местоположения держателя карты (по IP-адресу его Интернет-провайдера) с географией доставки товаров (geolocation);
• отсев карт по некоторым ВШам банков (block bank BINs);
• отсев транзакций, поступающих с анонимных прокси-серверов (block proxy);
• отсев транзакций, при совершении которых были указаны адреса электронной почты из определенных доменов, например доменов, которые предлагают услуги бесплатной электронной почты (block proxy);
• проверка номера карты на ее присутствие в черном списке (negative database);
• использование открытых ресурсов, хранящих черные списки реквизитов мошеннических карт (например, CyberSource Negative Database and Scoring System, SharedGlobal Negative Database and Scoring System), а также осуществляющих аутентификацию держателя карты по номеру его телефона (MyVirtualCard).
Первые две проверки из приведенного выше списка рекомендуются платежными системами. Так VISA считает, что использование проверки CVV2 уменьшает вероятность фрода более чем на 60 %. Сегодня платежные системы предпринимают шаги к тому, чтобы обязать эмитентов проверять значения CVC2/CVV2, полученные из авторизационных запросов, в своих процессинговых системах, а высокорискованные торговые предприятия (например, онлайновые казино) вставлять в авторизационные запросы значения этих криптовеличин.
Исследования компании ClearCommerce (США) относительно оценки эффективности использования системы AVS показывают, что только 40 % транзакций успешно проходят эту проверку при том, что доля мошеннических среди них менее процента. С другой стороны, при использовании AVS 35 % мошеннических операций успешно преодолевают эту защиту.
Кроме перечисленных выше проверок онлайновые магазины иногда обращают внимание на следующие факты, повышающие вероятность мошенничества:
• клиент
• размер операции выше обычного для магазина значения;
• заказ состоит из большого количества одинаковых предметов;
• транзакции выполняются по картам с похожими номерами;
• адрес доставки заказа один и тот же для покупок, совершенных по разным картам;
• несколько транзакций по одной карте в течение короткого интервала времени;
• несколько транзакций, выполненных по различным картам с одним адресом доставки выписок (billing address), но разными адресами доставки товаров;
• транзакция, которую клиент хочет оплатить более чем одной картой.
У магазина (особенно MO (TO) — магазина) могут быть и другие причины для сомнения — нерешительность держателя карты в предоставлении персональных данных, требование к срочности выполнения заказа, странный адрес доставки, незаинтересованность клиента в свойствах товара (например, в цвете) и т. д.
Другой ранее упоминавшийся аспект проблемы мошенничества для CNP-транзакций — кража данных о реквизитах карт с серверов главным образом онлайновых магазинов. Несмотря на запрет платежных систем, обслуживающие банки и торговые предприятия хранят в своих системах значения CVC2/CVV2, данные магнитной полосы карты, адреса, используемые в AVS, зашифрованные PIN-блоки. Онлайновые магазины оставляют в своих БД доступные им данные: номер карты, срок ее действия, иногда CVV2/CVC2 и адрес, используемый в системе AVS. Исследования, выполненные Visa USA, показали, что в США 37 % торговых предприятий, несмотря на запреты платежных систем, продолжают хранить в своих системах информацию по картам.
В результате при взломе сайтов онлайновых магазинов происходит компрометация данных карт различных эмитентов. Самыми показательными является случаи взлома сервера TJX и БД процессора CardSystems Solutions, в результате которых были потенциально скомпрометированы соответственно 45,7 и 40,0 млн карт.
Для повышения уровня защиты информации ведущие платежные системы в течение нескольких последних лет требовали от своих банков участия в программах VISA account information security и MasterCard site data protection. Эти программы требуют от банков контроля обслуживаемых ими онлайновых магазинов с точки зрения выполнения ряда требований безопасности. К таким требованиям безопасности относятся:
• поддержка на сервере торгового предприятия средств защиты сетевого доступа (firewall);
• шифрование конфиденциальных данных при их хранении и передаче;
• использование актуальных антивирусных программ;
• своевременное применение «заплат безопасности» в используемом программном обеспечении;
• использования процедур разграничения доступа к серверам и данным;
• выполнение постоянных аудитов систем безопасности онлайновых магазинов.
В конце 2004 г. в основу программ защиты данных двух ведущих платежных систем был положен стандарт Plastic card industry data security standard (PCI DSS). Стандарт включает в себя 12 требований верхнего уровня, которые должны удовлетворяться информационными системами любого (в том числе онлайнового) магазина или третьестороннего процессора. Эти требования перечислены ниже: