Інформаційні системи і технології в банках - Страхарчук А.Я. - 5.3. ПРОБЛЕМИ НАДІЙНОСТІ ТА ЗАХИСТУ КАРТКОВИХ ТЕХНОЛОГІЙ

З платіжними картками пов'язано кілька цілком реальних можливостей зловживання. З боку користувачів - це несплата за рахунками, для кредитної картки - звичайне відтермінування платежу, що завершується появою в рахунках непосильного розміру процентів, а також користування картками, за якими вичерпано кредитний ліміт.

Найпоширенішим видом шахрайства є маніпуляції із загубленими або вкраденими платіжними картками. В Україні вони становлять понад дві третини всіх злочинів із банківськими платіжними картками. На Заході губиться і крадеться приблизно 0,5% від виданих карток, з них тільки 15% використовуються із шахрайськими цілями. На Заході будь-який емітент, що поважає себе, має фахівця з питань безпеки, а платіжні системи - цілі підрозділи, що займаються цими питаннями. Загалом же, якщо система працює за правилами, то можливості шахрайства мінімальні.

5.3.1. Ризики, що супроводжують карткові технології

Основною передумовою виникнення ризиків при реалізації карткових програм є шахрайські дії, які зумовлені бажанням шахраїв заволодіти коштами, що розміщені на карткових рахунках клієнтів.

Під шахрайством розуміють застосування будь-яких заходів для перехоплення коштів на користь третьої сторони, що не є платником, одержувачем або посередником.

Практично всі відомі методи шахрайства засновані на несанкціонованому списанні коштів із карткових рахунків. Тому, як правило, основні збитки несуть банки-емітенти. Банки, які обслуговують торговельно-сервісну мережу, зазнають збитків тільки в разі порушення формальних правил обслуговування платіжних карток, штрафів міжнародних платіжних систем (МЯС), тоді, коли банки-емітенти маніпулюють правилами платіжних систем, та під час обслуговування операцій за картками в мережі Internet.

Фактори виникнення ризиків за платіжними картками можуть бути прямі і непрямі, об'єктивного характеру, тобто не залежати від банку, і суб'єктивного характеру, тобто такі, що залежать безпосередньо від банку. До прямих факторів належать шахрайство з боку держателів або сторонніх осіб, незахищеність або недосконалість технології. Непрямі фактори, у свою чергу, поділяються на зовнішні і внутрішні.

Особливу роль відіграють технічні особливості функціонування платіжних карток - ступені захисту картки, технологічні особливості картки (магнітна смуга або мікросхема), комунікаційні можливості банку-емітента і банку-еквайра, технічне устаткування та технологічне забезпечення торговельно-сервісної мережі. Тому питання захисту, криптування даних під час інформаційного обміну має бути під постійним контролем відповідних служб банку.

Розглянемо основні види ризиків, на які наражаються банки і клієнти, та можливі методи захисту.

Ризиком з емісії дебетових карток є овердрафт - виникнення недозволеного кредиту за дебетовою карткою клієнта у зв'язку зі зміною курсів валют, списанням комісій та відсутністю будь-якого забезпечення картки. З'являється переважно за картками клієнтів, які користуються ними за кордоном, за картками для зарплатних проектів у зв'язку з відсутністю незнижувального залишку на картковому рахунку, уразі технічних збоїв обладнання тощо. Ризики з емісії кредитних карток можна поділити на такі види. • Підлімітні операції - можливість несанкціонованого використання коштів із карткових рахунків, як наслідок застосування технології здійснення операцій за картками без отримання авторизації (підтвердження дозволу на проведення операції) від банку-емітен-та. Картки використовують шахраї цілеспрямовано, щоб завдати збитків банкові. Таким чином, ретельна перевірка клієнта є головним методом протидії.

• Stand-in-Processing (STIP) авторизація - можливість несанкціонованого використання коштів банку за допомогою технології здійснення операцій за картками з отриманням авторизації від платіжної системи за загальними дозволеними параметрами здійснення операцій, що встановлені банком для всіх карток без фактичного отримання дозволу від емітента на проведення конкретної операції.

Ефективним методом протидії цьому ризику є застосування порого-вих параметрів при авторизації, що можуть установлюватись як на певний діапазон карток, так і на окремі картки або типи торговельних пунктів.

Наприклад, пороговими показниками можуть бути; максимальна сума, яка доступна протягом дня; максимальна сума однієї операції; кількість успішних авторизаційних запитів за однією банківською платіжною картою {ВПК) протягом дня.

• Піратські програми - використання хакерами спеціально розроблених комп'ютерних програм для генерації реально існуючих номерів карток, отримання інформації про картки через програмне забезпечення. Тому щонайменше раз на рік слід проводити облік номерів карток, за якими не було зафіксовано фінансових операцій, і діапазон номерів карток, які не були емітовані.

• Втрата інформації - незаконне отримання інформації від службових осіб МПС, процесингового центру, провайдерів зв'язку, торговельних точок, банку, безпосередньо держателями карток для подальшого шахрайського використання. Серед потенційних шахраїв можуть бути і працівники банку. Від власних співробітників важко захищатись. Тому доводиться вживати таких заходів:

- забезпечення фізичної та технологічної безпеки процесу виробництва карток, процесування трансакцій та забезпечення процесу авторизації;

- шифрування інформації за картками при передачі каналами зв'язку;

- перевірка процесів зберігання, виробництва та відправки карток та PIN-конвертів;

- обмеження та розмежування рівнів доступу співробітників до інформації за картками в системі банку;

- контроль за дотриманням правил безпеки та збереження інформації в банку, процесинговому центрі;

- створення спеціалізованої структури, що аналізує ризики та безпеку карткового проекту.

• Втрата картки - викрадення або передача картки шахраям співробітниками банку, фабрик, що мають доступ до карток, при надсиланні реального пластику банку - для виробництва підроблених карток.

Основний метод запобігання шахрайському використанню втрачених карток полягає в тому, що клієнт повинен своєчасно повідомити банк та правоохоронні органи.

Для зменшення шахрайства банки виготовляють картки з фотографією держателя, що має привертати увагу працівника торговельного пункту.

• Овердрафт за кредитними картками - виникнення суми недозволеного кредиту за кредитною карткою клієнта у зв'язку зі зміною курсів валют, списанням комісій банку або еквайрів та недостатністю забезпечення картки для відшкодування суми заборгованості банку.

Операційні ризики - витрати на арбітраж, рекламації, стоп-листи, інше, що не відшкодовується банку клієнтами. Виникають, як правило, у зв'язку з особливостями технологій МПС.

Ризиками, що загрожують держателеві у процесі розрахунків, у торговельно-сервісній мережі є:

• Телемаркетинг - здійснення операцій за кредитними картками в середовищі Internet, поштою, телефоном без дозволу власника картки.

• Ручне введення операції - це проведення операцій за кредитними картками без безпосереднього використання картки на термінальному обладнанні, а введенням інформації за карткою співробітниками торговельного пункту (нібито через фізичне пошкодження магнітної смути). У такому разі правдивість магнітної смуги не перевіряється і зловмисники можуть використовувати вкрадені картки.

• Втрата підтверджувальних документів, запізніле представлення операції - наслідком цього є фінансові втрати банку-еквайра (у разі видачі готівки) або торговельного пункту при проведенні рекламаційної роботи банками-емітентами.

• Партнер-шахрай - зловмисні дії підприємства, яке обслуговує клієнтів за картками відповідно до укладеного договору еквай-рингу. Наприклад, змова зі шахраями для використання вкраденої, втраченої картки, використання підроблених карток (скімінг), білого пластику, подвійний прокат сліпів, відкриття Internet-магазину для збору інформації за картками з метою подальшого шахрайського використання. Методом протидії є ретельна перевірка торговельного підприємства до моменту укладення договору.

Причому до ризику банку, що обслуговує торговельні підприємства, крім основних збитків, додається можливість судових витрат, втрата клієнтів, втрата іміджу банку.

З метою зменшення ризиків за операціями еквайрингу банк-еквайр повинен розробити чітку і детальну процедуру попередньої перевірки потенційного торговця перед укладенням договору (рис. 5.11).

Банк обов'язково повинен інформувати клієнтів про принципи безпечного користування карткою, навчати власника картки, як він має діяти в разі втрати картки або підозри на її шахрайське використання, які правила користування банкоматом, як зберігати чеки та звіряти їх із витягами з рахунку та оскаржувати операції протягом місяця.

Схема процесу затвердження тоговця зі звичайним рівнем ризику

Рис. 5.11. Схема процесу затвердження тоговця зі звичайним рівнем ризику

У разі втрати платіжної картки, її викрадення або розголошення PIN-коду стороннім особам клієнт має звернутися до банку для ЇЇ блокування в усній формі, за телефонами служби цілодобової підтримки клієнтів або за телефонами сервісних центрів платіжних систем (рис. 5.12).

Алгоритм дій банку в разі отримання повідомлення про втрату платіжної картки

Рис. 5.12. Алгоритм дій банку в разі отримання повідомлення про втрату платіжної картки

Дієвим заходом для підвищення контролю є надання клієнтам витягів, запитів на авторизацію на мобільний телефон або e-mail у режимі on-line.

5.3.1. Ризики, що супроводжують карткові технології
5.3.2. Методи захисту учасників карткових операцій
5.4. РОЗВИТОК КАРТКОВОГО БІЗНЕСУ В УКРАЇНІ
5.4.1. Ринок платіжних карток в Україні
5.4.2. Національна система масових електронних платежів (НСМЕП)
5.4.2.1. Еволюція Національної системи масових електронних платежів
5.4.2.2. Роль НСМЕП на ринку платіжних карток України
5.4.3. Правове регулювання банківського карткового бізнесу в Україні
5.4.3.1. Концептуальні підходи до створення правової бази платіжних систем
5.4.3.2. Правове регулювання діяльності карткових платіжних систем, що діють на ринку України
© Westudents.com.ua Всі права захищені.
Бібліотека українських підручників 2010 - 2020
Всі матеріалі представлені лише для ознайомлення і не несуть ніякої комерційної цінностію
Электронна пошта: site7smile@yandex.ru