Безопасность и платежные системы: кому можно доверять свои банковские данные?

Больше половины россиян хоть раз в жизни сталкивались с мошенничеством с банковскими картами онлайн. Почему уходят деньги с карт, продается персональная информация и как финансовые учреждения должны защищать вас как пользователя ― от эксперта в сфере безопасности платежного сервиса Profee.

По данным последнего отраслевого отчета Nilson Report, каждые 6,81 цента на 100 долларов США были присвоены мошенниками. Наибольшее число потерь выпадает на операции без предъявления банковских карт со счетов частных лиц (CNP) ― 68%. А больше всего от мошенничества страдали американцы, китайцы и россияне.

Но мошенничество — это не только единоразовое снятие с банковского счета какой-то суммы средств. Данные держателей карт, их адреса и контакты тщательно отбираются и сохраняются «на будущее». В даркнете регулярно мелькают предложения купить карту какого-то американца и не только по стоимости от 5,80 долларов за штуку. А тут и подделка личности, и кредиты, и займы, и все вытекающие. Что примечательно, именно граждане в возрасте около 30 лет наиболее подвержены мошенничеству, так как в 54% случаев они уверены, что смогут «заблаговременно» обнаружить схему. Как видим из статистики, это не так.

Давайте говорить откровенно, переход по фишинговым ссылкам или ввод банковских данных в несуществующем магазине не должны становиться причиной для утечки данных. Ключевой фактор ― степень защиты финансовой организации и платежной системы. А тут ситуация на сегодняшний день обстоит очень двояко.

На сегодня существует более десятка стандартов, которые описывают условия и требования к платежным операторам или системам для безопасного совершения платежей. Некоторые из них международные, некоторые ― национальные.

Первоочередные регулируют в принципе оборот дебетовых и кредитных карт, как, например, Федеральный закон «О национальной платежной системе» или «О защите прав потребителей», где берутся основные нормы проведения платежей и их регламентация. Но ключевые требования, которые диктуют меры по защите CNP-платежей:

1. ANSI X9-112-3 Мобильный банкинг и платежи ― стандарт, определяющий проведение транзакций с мобильного и осуществление платежей с мобильных банковских приложений. Например, по NFC, RFID, Bluetooth, Wi-Fi, SMS.

2. Спецификации альянса Fast Identity Online (FIDO) ― стандарты аутентификации, в том числе с использованием биометрических данных пользователя банковских услуг.

3. Спецификации веб-аутентификации W3C для безопасного Интернета (веб-API) ― рекомендации для обеспечения надежного процесса аутентификации в обход фишинговых и хакерских атак.

4. Спецификации веб-платежей W3C ― определяет нормы единого интерфейса веб-платежей для всех типов платежных операций с указанием основных характеристик платежных карт и идентификаторов способов оплаты.

5. Модель онлайн-платежей в один клик W3C ― стандарт, определяющий оплату в интернете и мобильных устройствах без регулярного ввода данных в один клик, например, через отпечаток пальца.

6. EMV 3-D Secure 2.0 ― спецификация, которая описывает нормы 3-D безопасности в сфере аутентификации на основе приложений, а также интеграцию всех платежных каналов с цифровыми кошельками.

7. Стандарт безопасности данных (DSS) индустрии платежных карт (PCI) или PCI DSS ― стандарт, описывающий меры безопасности в вопросе хранения данных держателей платежных карт для всех субъектов, участвующих в отправке, обработке и приеме платежей.

8. Стандарт безопасности данных платежных приложений PCI или PA-DSS ― документ содержит требования по обеспечению мер безопасности платежных приложений и способы оценки степени защиты.

9. PCI Point-to-Point-Encryption (P2PE) ― стандарт с требованиями к P2PE шифрованию, который описывает нормы и требования обеспечения безопасности данных учетной записи плательщиков.

10. Стандарт PCI TSP ― стандартизация поставщиков услуг токенов, которая включает требования безопасности и процедуры оценки для поставщиков услуг платежных токенов (EMV).

11. ISO: 9564-1:2017 ― Financial services — Personal Identification Number (PIN) management and security― стандарт, определяющий присвоение ПИН-кода пользователя, его использование и применение для проведения транзакций.

12. ISO 11568-1:2005 Banking — Key management (retail) – устанавливает принципы управления криптографическими ключами в розничной торговле при обмене информацией или проведению платежей без использования PIN.

13. ISO/TS 12812-2:2017 ― Core banking ― стандарт определяет условия и обязательную структуру управления сетями для проведения мобильных банковских операций (протоколы, механизмы аутентификации, цифровые подписи, сертификацию безопасности).

Вообще, стандартов и подстандартных документов в разы больше. Но это основные, которые очерчивают правила и условия безопасных платежей без предъявления карты, а также сертификацию организаций, которые являются участниками таких операций. Поэтому нужно прицельно рассмотреть реальные стандарты, которые защищают плательщика.

Ключевая организация, которая занимает чуть ли не центральное место в платежной индустрии ― PCI SSC.

The PCI Security Standards Council ― Совет по стандартам безопасности PCI – представляет собой глобальный форум или организацию, которая состоит из всех заинтересованных в честных платежах сторон. Основанный в 2006 году представителями 5 международных платежных систем, он до сих пор считается ключевым в формировании норм, требований и условий платежей между финансовыми организациями и банковскими учреждениями, в том числе и C2C.

Основной документ Совета ― PCI DSS. Нормы PCI DSS покрывают работу с данными держателей платежных карт различных торгующих компаний, банков, колл-центров, платежных операторов, а также компаний, чья работа покрывает доступ к финансовой информации. Но именно платежные организации и процессинговые компании должны не просто соблюдать нормы этого стандарта, но и проходить сертификацию, чтобы подтвердить действительность мер защиты платежей.

По сути, именно эта организация и именно стандарт борется за то, чтобы любые данные сторон платежей не утекали в сторонние руки в процессе его проведения.

Специфика сертификации PCI DSS заключается не просто в оценке, что в компании все хорошо. Технические специалисты и эксперты, которые представляют сертификационный орган, проводят анализ работы компании, в частности, в отношении управления платежными операциями и хранения данных клиентов. IT-инженеры составляют сводный отчет, которые показывает уязвимые места в инфраструктуре и программном обеспечении, и в дальнейшем контролируют устранение всех пробоин в защиты. Только после построения безукоризненной защиты, компания предоставляет сертификат и допускает платежную организацию или бизнес к работе с финансовыми операциями.

На нашем платежном сервисе Profee регулярно проходит продление сертификата PCI DSS с комплексным заключением экспертов PCI. Последний мы обновили в конце начале месяца. Что это нам дает?

• Выявление технических сбоев или ошибок в работе платежного оператора. Мы своевременно узнаем, где могут проходить сбои в переводах, которые угрожают нашим пользователям.
• Определение слабых мест в защите данных. Наши специалисты могут с другой стороны взглянуть, как мошенники или хакеры могут извлекать пользовательскую информацию из базы данных.
• Контроль юридических соответствий. Эксперты помогают увидеть, где не соблюдаются нормы работы с пользовательской информацией и как это влияет на компанию.
• Повышение статуса компании. Выдача официального заключения международного аудитора подтверждает, что очередной платежный сервис ― не scam-проект, а действительно успешный финансовый стартам.

Кстати, сертификация PCI DSS ― ежегодная. Поэтому платежный сервис всегда должен держать себя в «тонусе» и мониторить требования Совета. Но стандарты PCI ― не единственные нормы, которые обязательны для ответственного платежного сервиса.

В рамках ISO стандартов финансовые платформы должны проводить платежи только с распоряжения держателей карт. В случае CNP это возможно с помощью 3ds верификации пользователя и двухфакторной аутентификации.

3-D Secure — это протокол, который подтверждает пользователя как владельца карточного счета, блокирует запрашиваемую сумму оплаты, бронирует ее на счету, и, с помощью доступа через двухфакторную аутентификацию отправляет запрос на оплату.

Чем более сложный способ двухфакторной аутентификации применяет банк, тем более надежно платежи защищены от подделки или мошенничества.

На сегодня существует несколько видов двухфакторного подтверждения:

• Через электронную подпись;
• Через токены;
• Через пароль;
• Через код в смс;
• Через персональные биометрические данные пользователя (FaceId, отпечаток пальца);
• Через определение геолокации;
• Через уведомления на сторонние устройства или приложения.

Мы в платежном сервисе Profee в процессе 3ds и двухфакторной аутентификации используем уведомления по системе защиты Verified by Visa и MasterCard Secure Code.

Это позволяет выявить, действительно ли осуществляет перевод реальный владелец карты, а не пользователь, который, например, нашел карту, а также идентифицировать держателя уникальными системами защиты всемирных платежных систем. Visa и MasterCard защищают пользователей специальным фиксированным кодом для платежных операций или одноразовым паролем. Кстати, для проведения операций с картами указанных платежных систем также нужно проходить сертификацию, чего нет у многих интернет-магазинов.

Но сертифицировать — не значит ― быть полностью уверенными в максимальной защите операций и платежных данных пользователей.

Наличие сертификатов ― не гарант реальной защиты плательщика при отправке переводов. Для того, чтобы убедиться в цифровой защит сервиса и его баз данных, партнерских платежных шлюзов, финансовые компании и платформы должны проводить penetration test (тест на проникновение).

Pentest – это метод тестирования на безопасность, который подразумевает имитацию целевых атак злоумышленников на незащищенные или слабо защищенные цепи, сети или протоколы для получения данных. В рамках норм Положения Банка России 382-П, 683-П и 684-П такие тесты в обязательном порядке должны проводить все кредитные и финансовые учреждения России один раз в год. Кстати, в рамках сертификации PCI DSS заключение об успешном прохождении пентестов также должно быть.

В отличии от классических методов оценки на защищенность сервисов и систем, задача стоит не в атаке на какие-то конкретные точки как конечную цель, а именно кража информации или перехват операций.

Мы в сервисе переводов Profee проводим пентесты не раз в год, как это требуется нормами положений, а как минимум дважды в год. Это позволяет оценить безопасность системы, возможное поведение мошенников в случае атаки, а также быстрее совершенствовать сервис, чтобы потенциальные утечки данных в принципе не могли происходить.

Кому же доверять?

Начиная с момента оформления первой карты в банке или открытия счета, стоит обратить внимание, какие сертификаты и методы защиты информации использует финансовое учреждение. Как идентифицируется владелец карты, подтверждаются и направляются платежи, получаются финансовые услуги онлайн. Кстати, не стоит лениться, чтобы заглянуть в Пользовательское соглашение и Политику обработки персональных данных. Часто там можно выяснить, как учреждение хранит данные, защищает их, и несет ли в принципе ответственность за утерю таких.

В Profee мы стараемся создать новый уровень финансового сервиса, поэтому делаем акцент на безопасность и удобство для пользователя. Если у вас есть какие-то вопросы в отношении нормативов и способов защиты платежных сервисов ― задавайте, мы с удовольствием на них ответим.