Стандарт защиты информации в индустрии банковских пластиковых карт

Для обеспечения безопасной работы при расчетах с использованием пластиковых карт используются стандарты PCI DSS, PA DSS, PCI PED и др. Стандарт PCI DSS (Payment Card Industry Data Security Standard) был разработан в 2005 г. для крупных торгово-сервисных предприятий (более миллиона транзакций в год) и сервис-провайдеров. Он нацелен на снижение риска утечки данных платежных карт при авторизации. В настоящее время его применение обязательно и для других торгово-сервисных предприятий.

Требования стандарта распространяются на:

• • организации, занимающиеся продажами товаров или услуг по платежным банковским картам;
• • организации, предоставляющие платежные шлюзы продавцам;
• • интернет-магазины;
• • банки, помогающие продавцам принимать платежи по банковским кредитным и дебетовым картам;
• • операторов связи, передающих данные владельцев пластиковых карт по каналам связи.

PCI DSS объединяет разработанные платежной системой Visa программы Account information security (ASP) и Cardholder information security program (CISP), а также разработанную платежной системой MasterCard программу Site data protection (SDP). Этот стандарт представляет собой набор требований по информационной безопасности, обеспечивающих участникам платежных систем Visa и MasterCard минимальные риски при работе с пластиковыми картами.

Все торговые предприятия, в зависимости от числа транзакций или по усмотрению системы Visa, подразделяются на четыре уровня, все поставщики услуг — на три уровня. К торговым предприятиям первого уровня относятся те, которые обрабатывают свыше 6 млн транзакций по Visa в течение года, ко второму уровню — от 150 тыс. до б млн, к третьему уровню — от 20 тыс. до 150 тыс., к четвертому уровню — все остальные. Для пользователей системы Visa первого уровня обязателен ежегодный аудит на соответствие требованиям PCI DSS, для предприятий второго, третьего уровня и, желательно, четвертого уровней требуется самостоятельное заполнение опросного листа. Для предприятий всех уровней обязательно ежеквартальное сканирование сети.

К поставщикам услуг первого уровня относятся те, которые напрямую работают с VisaNet, ко второму уровню — любые поставщики, обрабатывающие более миллиона транзакций no Visa в год, к третьему уровню — обрабатывающие менее миллиона транзакций по Visa в год. Для поставщиков услуг первого и второго уровней обязателен ежегодный аудит на соответствие требованиям PCI DSS, для поставщиков услуг третьего уровня достаточно самостоятельного заполнения опросного листа. Для поставщиков услуг всех уровней обязательно ежеквартальное сканирование сети.

В настоящее время в России насчитывается порядка 80 банков или процессинговых центров первого уровня, напрямую работающих с МПС Visa, и столько же торговых предприятий первого уровня.

В системе MasterCard к этим мероприятиям относится внедрение таких программных продуктов, как MasterCard SecureCode, MasterCard All in.

One Authentication Device, MasterCard Mobile Authentication и OneSmart Chip Authentication Program (CAP).

Протокол безопасности 3D-Secure

Технология 3D-Secure используется для повышения безопасности работы с пластиковыми картами при совершении покупок в сети Интернет. Протокол 3D-Secure является ХМL-протоколом, который используется как дополнительный уровень безопасности для онлайн-кредитных и дебетовых карт, двухфакторной аутентификации пользователя. Компания Visa разработала его с целью улучшения безопасности интернет-платежей и предложила клиентам услугу Verified by Visa (VbV, Проверено Visa). Услуги, основанные на данном протоколе, также были приняты MasterCard под названием MasterCard SeciireCode (МСС) и JCB International как J/Secure. Протокол предназначен для повышения безопасности совершения платежей с использованием сети Интернет.

Протокол 3D-Sccure добавляет еще один шаг аутентификации при совершении онлайн-платежей. Для использования этого протокола владелец пластиковой карты проходит регистрацию в банке, выдавшем карту (банке-эмитенте). При регистрации он также указывает номер телефона, по которому ему может быть выслано SMS-сообщение с одноразовым кодом. Ряд банков используют систему постоянных паролей. Пользователь задает пароль один раз при регистрации и при совершении каждого интернет-платежа вводит именно его. Данный способ является менее надежным, нежели одноразовый код подтверждения.

На рис. 11.1 показана форма [35], в которой требуется указать код пароля — одноразового или постоянного.

Рис. 11.1. Форма для подтверждения аутентификации.

При использовании этой формы:

• • покупатель убеждается в подлинности взаимодействия, так как в форме указан именно тот банк-эмитент, в котором он получил карту, использовано именно то персональное обращение, которое он использовал при регистрации, указаны правильные четыре последние цифры карты;
• • окошко Password пользователь вводит полученный от банка код;
• • после нажатия на кнопку Submit данные поступают па сервер банка, где осуществляется дополнительная аутентификация.

Название технологии 3D-Secure происходит от трех областей (доменов), обеспечивающих безопасность покупки. Это домен эквайера, домен эмитента и домен совместимости. Домен эквайера — это домен продавца и банка, в который перечисляются деньги. В этом домене онлайн-продавец отвечает за коммерческое взаимодействие с покупателем, за правильность направления покупателя в нужный банк для установления его подлинности. Домен эмитента — это домен банка, выдавшего карту и самого держателя карты. Банк-эмитент ответственен за аутентификацию покупателя и достоверность информации для проведения сделки (транзакции). Домен взаимодействия (совместимости) — это домен, предоставляемый кредитной организацией для поддержки 3D-Secure протокола. Организация несет ответственность за сохранность информации и предоставление ее в случае конфликтной ситуации. При использовании для покупки ворованной пластиковой карты в магазинах, не поддерживающих технологию 3D-Secure, ответственность за операции несет магазин. При использовании этой технологии магазином ответственность переносится на банк-эмитент.