А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия
Обзор книги А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия
Книга ориентирована на сотрудников карточных подразделений, отделов информационной безопасности коммерческих банков, специалистов процессинговых центров, правоохранительных органов, занимающихся уголовными делами по карточному мошенничеству, руководящего персонала супермаркетов, прочих торговых организаций, студентов финансовых вузов.
А. К. Алексанов, И. А. Демчев, А. М. Доронин и др
Безопасность карточного бизнеса: бизнес-энциклопедия
Предисловие
Безопасность в любой сфере — тема деликатная, а в сфере банковских карт — особенно. Карточки как инструмент удаленного доступа к банковскому счету по своей природе обречены быть привлекательными для мошенников. Авторам бизнес-энциклопедии «Безопасность карточного бизнеса» удалось соблюсти баланс между максимальной ценностью изложенного материала и сведением к минимуму возможных негативных последствий от освещения профессионалами той или иной темы. Издательство с удовольствием представляет читателям авторский коллектив этой уникальной книги с указанием темы, над которой работал каждый автор.
А. К. Алексанов (КБ «Трансинвестбанк») — «Безопасность аппаратной и сетевой инфраструктуры».
И. А. Демчев (Банк Москвы) — «Обзор банковских рисков и угроз от мошенничества с платежными картами и их реквизитами. Практические меры по минимизации рисков и ущерба от действий мошенников для банков-эмитентов, банков-эквайреров».
А. М. Доронин (Следственный комитет при МВД России) — «Уголовная ответственность за преступления в сфере банковских карт — анализ законодательства, особенности, проблемы расследования, экспертиза поддельных карт, квалификация преступлений, судебная практика, рекомендации, необходимые изменения законодательства», «Приложение 1. Судебно-следственная практика» (оба раздела — в соавторстве с Н. П. Пятиизбянцевым).
Е. В. Казакова — «Претензионная работа с картами» (в соавторстве с С. В. Серебряковым).
И. Б. Колесов (независимый эксперт) — «Доклиентский цикл и его безопасность» (в соавторстве с С. Е. Фегиной).
М. В. Кузин («Газпромбанк») — «PCI DSS и реальная безопасность платежной системы банковских карт», «Оценка рисков эмитента в платежной системе банковских карт с использованием мониторинга транзакций».
Н. П. Пятиизбянцев («Газпромбанк») — «Уголовная ответственность за преступления в сфере банковских карт — анализ законодательства, особенности, проблемы расследования, экспертиза поддельных карт, квалификация преступлений, судебная практика, рекомендации, необходимые изменения законодательства», «Приложение 1. Судебно-следственная практика» (оба раздела — в соавторстве с А. М. Дорониным).
Г. В. Саенко (Экспертно-криминалистический центр МВД России) — «Приложение 2. Типовая методика исследования информации, находящейся на магнитной полосе платежных карт» (в соавторстве с О. В. Тушкановой).
С. В. Серебряков (Связной Банк ЗАО) — «Претензионная работа с картами» (в соавторстве с Е. В. Казаковой), «Физическая безопасность (вопросы проектирования помещений ПЦ и организация доступа в помещения и зоны)».
О. В. Тушканова (Экспертно-криминалистический центр МВД России) — «Приложение 2. Типовая методика исследования информации, находящейся на магнитной полосе платежных карт» (в соавторстве с Г. В. Саенко).
С. Е. Фегина (независимый эксперт) — «Доклиентский цикл и его безопасность» (в соавторстве с И. Б. Колесовым)
М. С. Эмм (НИП «Информзащита») — «Стандарты международных платежных систем (PCI DSS)».
А. В. Юрьев (АКБ «Абсолют Банк») — «Основные направления обеспечения информационной безопасности корпоративной системы как фундамента безопасности карточного бизнеса».
А. С. Воронин
Руководитель проекта, редактор-составитель Центр исследований платежных систем и расчетов
Введение
Рядовая сценка из повседневной жизни — кассир супермаркета, принимая банковскую карту к оплате, возвращает ее клиенту, даже не взглянув на подпись на чеке электронного терминала и не сверив ее с подписью на обратной стороне карты. Самое большее, на что хватает усердия и внимания кассового работника магазина, как правило, — проверить дату окончания действия карты. И это только один пример — из торговой сферы, где низкая квалификация кассовых работников, связанная отчасти с высокой текучестью кадров, отчасти — с недостаточным пониманием важности проблемы со стороны руководства — не исключение, а скорее правило. А сколько аналогичных случаев в других сферах, на других этапах сложной технологической и организационной цепочки, которые проходит карточка от производственного цеха до кошелька клиента банка? И даже когда карточка уже дошла до кошелька своего законного держателя, риски не уменьшаются — скорее наоборот. Банковские специалисты знают об одном извечном феномене — сколько ни повторяй клиентам — держателям карт, сколько ни пиши в буклетах, что нельзя в одном кошельке носить карточку и ПИН-код, а тем более записывать его на карточке — клиенты продолжают это делать.
Человеческий фактор, увы, способен свести на нет достижения самых современных технологий, усилия многих и многих высококвалифицированных специалистов — производителей карт, которые делают заготовки из высококачественного пластика со специальными защитными элементами (редкий кассир торгового предприятия способен оценить качество пластика, знает защитные элементы); методологические разработки специальных структур МПС, разрабатывающих стандарты безопасности по операциям с картами; усилия законодателей и представителей правоохранительных органов. Спрашивается, для чего тогда нужны качественный пластик, надежные технологии, международные стандарты, адекватное законодательство?
Есть очевидная аксиома, известная специалистам по управлению рисками в любом бизнесе, — свести риски к нулю нельзя, но минимизировать — можно и нужно. Это, безусловно, относится и к карточной сфере. Для минимизации рисков и существуют технологии, стандарты, законы и многое другое — все то, чему посвящена эта книга.
Современный карточный бизнес существует в очень агрессивной внешней среде. Особенность пластиковой карточки как банковского инструмента удаленного доступа к счету клиента, причем настолько эффективного, что границы между государствами перестали иметь значение, привела к международному размаху карточного мошенничества. Первый раздел книги посвящен его видам (скиммингу, фишингу и т. д.), рискам и угрозам для банка (эмитента и эквайрера), которые влечет за собой мошенническая активность, возможностям предупреждения и противодействия, способам минимизации рисков. В обзоре обобщены и систематизированы наработки ведущих международных платежных систем, российских и иностранных кредитных организаций, практикующих экспертов в области борьбы с карточным мошенничеством.