PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Новые статьи в RSSНовые статьи

Хакеры заинтересовались POS-терминалами

 4 августа 2016   0 комментариев
 Алина Оприско  
Кражи через такие терминалы распространены на Западе, предупредил банкиров Центробанк

В Digital Security подготовили обзор по безопасности высокоскоростных поездов

 2 августа 2016   0 комментариев
 Алина Оприско  
Компания Digital Security открывает цикл аналитических обзоров, посвященных безопасности транспорта и промышленных объектов. Первый обзор серии подготовлен Егором Литвиновым, ведущим специалистом по безопасности АСУ ТП Digital Security, который сосредоточил свое внимание на ИБ высокоскоростных поездов на основе информации из открытых источников. Специалист Digital Security описал инфраструктуру современного поезда, а также представил возможные векторы атак, которые в потенциале имеются в распоряжении злоумышленников. Обзор полностью можно почитать в нашем блоге на Хабре.

ЦБ потребовал киберзащиты

 2 августа 2016   0 комментариев
 Алина Оприско  
От рекомендаций банкам по информационной безопасности ЦБ перешел к однозначным требованиям. Регулятор разработал четкий и обязательный для всех банков регламент кибербезопасности, призванный защитить кредитные организации от хакерских атак. В документе, в частности, вводится обязанность банка в течение трех часов сообщать о готовящейся или свершившейся атаке.

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.


Под колпаком у банка

16 ноября 2012
  
  pdf-

По сведениям портала Банки.ру, крупный российский интегратор «Оптима» готовит решение, способное предотвращать снятие денег мошенниками с помощью краденых или поддельных банковских карт.

Суть нового метода защиты заключается в том, что в момент снятия наличных в банкомате и при осуществлении других карточных операций банк сравнивает, где находится карта и где — сам клиент (последнего находят по местоположению его телефона), и блокирует операции, если карта и ее держатель (точнее, его телефон) далеко друг от друга.

В настоящее время «Оптима» держит имена банков-заказчиков (сейчас их можно считать скорее потенциальными, чем реальными) в секрете. Портал Банки.ру попытался заранее узнать у представителей банковского сообщества, интересует ли их подобная система защиты в принципе и какие подводные камни могут подстерегать клиентов, согласившихся на то, чтобы банк следил за ними «по телефону».

Нам «кузнец» не нужен!

По мнению начальника управления процессингового центра Банка24.ру Вадима Соколова, место использования карты и сейчас уже неплохо отслеживается анализатором мошеннических трансакций на основе технологий международных платежных систем. «Дополнительно фиксировать местоположение телефона клиента (именно телефона, а не клиента с картой) мне кажется нецелесообразным», — заявил Соколов. Он пояснил, что в том случае, если такая система будет запущена, банку она обойдется достаточно дорого, поскольку потребуются как доработки в технологической схеме, так и прописывание юридических аспектов. При этом взимать дополнительную плату с клиента за такого рода дополнительную защиту, по убеждению Соколова, нецелесообразно.

Недостатки у системы «телефонной» защиты видят и в других банках. Заместитель председателя правления Меткомбанка Ольга Фролова предполагает, что блокировке могут подвергнуться не только мошеннические операции, но и те, которые попытается провести сам держатель банковской карты. Что делать, если телефон, по которому банк отслеживает местоположение клиента, разрядился, утерян или же в месте снятия наличных или совершения платежа недоступна сотовая связь? В таких случаях, очевидно, должны срабатывать альтернативные способы подтверждения операции. Следовательно, телефонная защита, если уж банк решится ее внедрять, может стать лишь небольшим дополнением к прочим системам безопасности. Так или иначе, но в Меткомбанке не рассматривают данную технологию в качестве одного из методов защиты от мошеннических операций.

Директор департамента продаж и продуктов Росгосстрах Банка Вилен Ли отмечает, что дополнительное подтверждение местоположения клиента увеличит время проведения операции, в связи с дополнительными запросами данных вне процессингового центра.

С таким мнением сложно не согласиться. Понятно, что клиент будет недоволен, если его заставят «топтаться» у банкомата в ожидании, пока система будет сопоставлять данные о местоположении устройства самообслуживания (такие данные фиксируются в банковской базе и базе платежной системы при установке оборудования) и сотового телефона.

Кроме того, в ряде банков уверены, что клиенты, мягко говоря, не горят желанием раскрывать информацию о своем местоположении. Да и закон о персональных данных не приветствует подобные вещи, так что банкирам придется прикладывать дополнительные усилия, чтобы контролирующим органам не к чему было придраться. При этом сотрудничеством с операторами некоторые банкиры не слишком довольны — ни в техническом плане, ни в ценовом, в том смысле, что за дополнительные услуги оператор просит обычно немало. «В настоящее время отсутствует возможность определения местоположения телефона за границей», — указывает на еще одно обстоятельство директор департамента карточных и дистанционных технологий Росбанка Сергей Барковский.

Особый момент — применимость технологии определения местоположения клиента к интернет-операциям. «Для реального осуществления данного сервиса необходимо усложнить систему интернет-операций, создав интерактивное взаимодействие клиента и банка», — подчеркнул Барковский. Например, если кредитная организация получает информацию о том, что операция инициирована в месте, отличном от фиксированной точки положения мобильного телефона клиента, она отправляет СМС-сообщение с просьбой подтвердить легальность трансакции.

Главное — не напрягаться!

Тем не менее большинство опрошенных порталом Банки.ру представителей банков согласились с тем, что новая технология, несомненно, усложнит жизнь и мошенникам, а не только клиентам. В Инбанке убеждены, что трансакции, которые не вписываются «в географию клиента», составляют основу мошеннических операций. И проблема необходимости отсечения таких трансакций не обсуждается. Банки постоянно пытаются ее решить, пытаясь разработать технологию защиты, которая «не напрягала» бы клиента.

По словам директора IT-департамента и члена правления Инбанка Василия Юрченко, кредитная организация «уже ведет работы по реализации механизмов, учитывающих в том числе местоположение телефона клиента». Юрченко не стал раскрывать всех деталей, но заявил, что тестирование нового сервиса в банке рассчитывают запустить еще до конца 2012 года.

По словам Юрченко, банки, предлагая подобный сервис, могут делать его как платным, так и бесплатным. Тариф в этом случае может быть сопоставим с платой за СМС-уведомления. Соответственно, как и в случае предоставления услуги СМС-информирования, каждый банк волен решать, создавать ли для этого отдельный тариф или включать его в некий «тарифный пакет» либо предоставлять функцию бесплатно, например как бесплатную опцию к интернет-банку. В Инбанке склоняются к идее бесплатной модели и, по крайней мере изначально, не планируют вводить плату отдельно за этот сервис.

Идею «бесплатности» обсуждаемого защитного сервиса поддерживают и в Промсвязьбанке. «Думаю, что цели зарабатывать на этой услуге у банка не будет, как, например, по услуге 3D-Secure, но все будет зависеть от расходов на внедрение и дальнейшее сопровождение данного решения», — поделился мыслями начальник отдела обеспечения безопасности расчетов по платежным картам Промсвязьбанка Геннадий Кузнецов.

В Росбанке признались, что в настоящее время конкретных планов по запуску подобной системы защиты нет, но ее, возможно, начнут применять после того, как все нюансы технологии будут «проработаны».

Организации, не имеющие собственных процессинговых центров, защищая карточные операции, ограничены возможностями партнеров. В Росавтобанке, который пользуется услугами процессингового центра банка «Уралсиб», заявили, что принципиально ничего не имеют против сопоставления местоположения карты и телефона клиента, главное, чтобы такая услуга предлагалась международной платежной системой и банком-партнером, обеспечивающим прохождение карточных трансакций.

Леонид ЧУРИКОВ, Banki.ru


!
,
 









Партнеры