PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Новые статьи в RSSНовые статьи

Хакеры заинтересовались POS-терминалами

 4 августа 2016   0 комментариев
 Алина Оприско  
Кражи через такие терминалы распространены на Западе, предупредил банкиров Центробанк

В Digital Security подготовили обзор по безопасности высокоскоростных поездов

 2 августа 2016   0 комментариев
 Алина Оприско  
Компания Digital Security открывает цикл аналитических обзоров, посвященных безопасности транспорта и промышленных объектов. Первый обзор серии подготовлен Егором Литвиновым, ведущим специалистом по безопасности АСУ ТП Digital Security, который сосредоточил свое внимание на ИБ высокоскоростных поездов на основе информации из открытых источников. Специалист Digital Security описал инфраструктуру современного поезда, а также представил возможные векторы атак, которые в потенциале имеются в распоряжении злоумышленников. Обзор полностью можно почитать в нашем блоге на Хабре.

ЦБ потребовал киберзащиты

 2 августа 2016   0 комментариев
 Алина Оприско  
От рекомендаций банкам по информационной безопасности ЦБ перешел к однозначным требованиям. Регулятор разработал четкий и обязательный для всех банков регламент кибербезопасности, призванный защитить кредитные организации от хакерских атак. В документе, в частности, вводится обязанность банка в течение трех часов сообщать о готовящейся или свершившейся атаке.

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Статьи

Станет ли кард-ридер верным спутником смартфона

7 сентября 2012
  
  pdf-версия

Технологии обещают обывателям новые потрясения: в ближайшем будущем вы сможете оплатить банковской картой пучок редиски на рынке за углом или работу слесаря-водопроводчика в ванной комнате вашей квартиры. Это случится, если торговец овощами или сотрудник коммунальных служб будет пользоваться миниатюрным кард-ридером, присоединенным к смартфону, — такие устройства начали предлагать в рамках совместного проекта оператор связи МТС и ПриватБанк. И будет нам безналичное счастье. Но скоро ли?

В технически развитом зарубежье такие услуги, запущенные, кстати, не так давно, уже работают. Первая ласточка — мини-кард-ридер Square для смартфонов и планшетов Apple, а также Android-устройств, который появился в США в 2010 году и за год набрал миллионную аудиторию пользователей, как частных предпринимателей, так и всяческих торговых представителей. По прогнозам аналитиков Aite Group, к 2015 году объем платежей с использованием мини-кард-ридеров достигнет в этой стране 55 миллиардов долларов.

Но это у них — на Западе, где давно уже стали привычными бумажники, набитые «пластиком», а не купюрами. Там великому множеству мелких предпринимателей оказались очень кстати такие терминалы для приема банковских карт: очень простые — маленькие коробочки размером 1,5х1,5 сантиметра, которые легко присоединяются к смартфону или планшету, и дешевые — стоят всего каких-нибудь 20 долларов, их банк к тому же возвращает владельцу ридера после первой транзакции.

Впрочем, и у нас рынок карточных платежей растет неплохо, отмечают в ЦБ РФ, — за последние три года он увеличился втрое. Если в 2008 году доля платежных карт в розничном товарообороте составляла 3,5 процента, то к 2015 году ожидается 10,1 процента. Правда, уверенности, что западная бизнес-модель — мини-ридер за 150 рублей, из которых 100 рублей вернется на счет предпринимателя после первой продажи через смартфон, — будет так же популярна у наших мелких лавочников и тружеников сферы услуг, нет. Дело даже не в отсутствии тотальной популярности «пластиковых» денег. И не в технической специфике. Ее, можно сказать, нет — для пользования этими кард-ридерами нужны минимальные познания.

Сама коробочка включается в аудиоразъем смартфона (планшета, ноутбука или даже настольного ПК), приложение iPay бесплатно скачивается из магазина App Store, Google Play или с сайта ПриватБанка, указывается номер банковской карты продавца, куда будут перечисляться вырученные деньги, и все! Не надо приобретать дорогой платежный POS-терминал, принимающий карты, регулярно выплачивать банку абонплату за его обслуживание, не нужен постоянный интернет-канал для удаленного банкинга. Даже высокоскоростного Интернета на уровне 3G — 4G эта коробочка не просит и трафиком канал связи особо не загружает. Но подводные камни все же есть.

Например, ПриватБанк берет комиссию за смартфонные платежи: от 1,5 до 2,7 процента — это обычная практика. Традиционно деньги за процессинг платежей выплачивает банку сам продавец. Не случайно, напоминают банковские специалисты, еще два года назад даже крупные торговые центры крайне неохотно решались принимать для оплаты банковские карты — еще бы! Ведь это означает отдавать банку примерно два процента от своего оборота. Бывает, что банки идут на бесплатный эквайеринг карт, но это всегда результат двусторонних договоренностей, и только с теми торговыми точками, где есть постоянный большой поток посетителей. И в данном случае комиссию обслуживающему банку будет платить сам индивидуальный предприниматель (ИП). В чем тогда его интерес, если наше законодательство не требует наличия терминалов по приему банковских карт в точках оплаты, а повального спроса на их прием нет даже в мегаполисах?

К тому же, отмечают специалисты компании «Технологии процессинга», такие проекты вряд ли будут в ближайшее время прибыльными и для банков: «Судя по опубликованной статистике ПриватБанка, доходы от обслуживания платежей едва ли превышают затраты на приобретение оборудования и привлечение заказчиков. Кроме того, это будут, скорее всего, мелкие платежи, а значит, рентабельность проектов будет существенно зависеть от количества транзакций и спроса потребителей, который пока ограничен».

Есть еще один интересный момент. Известно, что в сфере безналичных платежей достаточно высок уровень фрода, то есть мошенничеств, даже при том, что традиционные POS-терминалы принадлежат банкам-эквайерам, которые стремятся снизить эти риски. А если терминал нигде не зарегистрирован и устанавливается на личное мобильное устройство ИП?

«Смартфон в виде платежного терминала — это голубая мечта всех мошенников — кардеров: поставил себе ридер — и прокатывай все чужие карты, которых на черном рынке миллионы по бросовым ценам, — говорит главный аналитик Infowatch Николай Федотов. — Банку-эквайеру такого счастья не надо. Поэтому каждого продавца он перед заключением договора с лупой рассматривает и в процессе работы плотно контролирует. На фоне стоимости такого контроля цена POS-терминала — тьфу, безделица. Экономить на нем, заменив смартфоном, — это может прийти в голову банкира только в стране с острейшей конкуренцией. России этот вопрос пока не касается». И это еще не все.

Дело в том, что этот ридер за 150 рублей предназначен для считывания магнитной полосы карты. «Конечно, если в ридер банка вставить карту с микрочипом, он ее тоже прочитает, — поясняет Тимур Аитов, вице-президент Национального платежного совета. — Однако, «прокатав» чиповую карту, всю ответственность за фрод (типа «поддельная карта», «утерянная» или «украденная») придется брать на себя ИП, то есть владельцу этого устройства». Наше законодательство, кстати, требует обязательного информирования клиента о транзакции с его карты и дает ему возможность в течение суток опротестовать платеж. Оказывается, в мире немало посвященных в эту карточную специфику используют свои знания неправедным способом.

Скажем, супруги или подруги обмениваются картами, уезжают в разные страны и занимаются шопингом — кто там разберется, что за русское имя значится на карте? А получив извещение о транзакции, опротестовывают его, предъявив загранпаспорт, где отмечено, что владелец карты в это время находился в другой стране. Между прочим, вспомните: много ли вы встречали в столичных ресторанах и бутиках ридеров, читающих карточные микрочипы? Практически нет — везде вашу карту принимают, не спрашивая ПИН-код. Это означает, что с нее считывают только магнитную полосу, а реальная авторизация с помощью ПИН-кода не производится. Значит, есть шанс вернуть деньги за съеденный обед.

Нетривиальная складывается ситуация. Если вы пользуетесь «полосатой» картой, которая во всем мире уже признана небезопасной, далеко не всякому слесарю с мобильным кард-ридером вообще стоит ее отдавать, разве что личному парикмахеру или семейному доктору, которому доверяете. Если же у вас микрочиповая карта, ситуация риска обратная — продавцу надо десять раз подумать, прежде чем взять у вас карту, потому что вы запросто можете потребовать свои деньги обратно.

Пикантность ситуации в том, что в США с их многолетним «пластиковым» опытом банки уже в досмартфонные времена научились держать процент фрода на приемлемом уровне, сохраняя рентабельность платежных проектов, а у нас эти передовые технологии пересаживаются в «почву» с совершенно иным уровнем мошенничества. Поэтому взрывообразного роста популярности смартфонных кард-ридеров у нас, скорее всего, не будет, но то, что эксперименты с такими услугами начались, — это хороший знак. Кто знает, может быть, уже в ближайшем будущем можно будет по-соседски занять до завтра сто безналичных рублей с помощью своего смартфона?

Что может ограничить распространение мобильных кард-ридеров?

У мини-кард-ридеров все риски, характерные для POS-терминалов. Плюс еще один — риск того, что в смартфон будет внедрена вредоносная программа, которая станет перехватывать данные. А вот в POS-терминал внедрить трояна практически невозможно. Но основные проблемы не в программах. Со смартфоном банк не сможет получить полный контроль над устройством для ввода карт, что означает дополнительные риски, главный из которых — мошенничество со стороны продавца.
Николай Федотов, главный аналитик Infowatch

Мини-кард-ридеры для смартфонов могут получить определенную популярность в городах-миллионниках. Однако, по сути, эти устройства для приема платежей — альтернатива обычным мобильным POS-терминалам. И потому должны быть дешевле и, главное, надежнее и безопаснее последних, чтобы занять свою нишу на рынке. При запуске подобных услуг необходимо учитывать возможные проблемы с возросшим количеством оспариваемых транзакций, а также потенциальные риски утечки данных.
Роман Володин, директор по продуктам Tele2 Россия

У нас такой сервис, может быть, не очень активно пойдет, поскольку, с одной стороны, далеко не у всех граждан есть банковские карты, а с другой стороны — большинство мелких предпринимателей предпочитают работать по серым схемам. Даже в крупных дорогих торговых центрах менее половины розничных покупок осуществляется по картам. Продажи таких кард-ридеров пойдут более или менее активно лишь при устойчивой тенденции к легализации мелкого бизнеса.
Тимур Аитов, вице-президент Национального платежного совета

Источник - ИТОГИ №36 (847)
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры