А. К. Алексанов, И. А. Демчев, А. М. Доронин и др
Безопасность карточного бизнеса: бизнес-энциклопедия
Безопасность в любой сфере — тема деликатная, а в сфере банковских карт — особенно. Карточки как инструмент удаленного доступа к банковскому счету по своей природе обречены быть привлекательными для мошенников. Авторам бизнес-энциклопедии «Безопасность карточного бизнеса» удалось соблюсти баланс между максимальной ценностью изложенного материала и сведением к минимуму возможных негативных последствий от освещения профессионалами той или иной темы. Издательство с удовольствием представляет читателям авторский коллектив этой уникальной книги с указанием темы, над которой работал каждый автор.
А. К. Алексанов (КБ «Трансинвестбанк») — «Безопасность аппаратной и сетевой инфраструктуры».
И. А. Демчев (Банк Москвы) — «Обзор банковских рисков и угроз от мошенничества с платежными картами и их реквизитами. Практические меры по минимизации рисков и ущерба от действий мошенников для банков-эмитентов, банков-эквайреров».
А. М. Доронин (Следственный комитет при МВД России) — «Уголовная ответственность за преступления в сфере банковских карт — анализ законодательства, особенности, проблемы расследования, экспертиза поддельных карт, квалификация преступлений, судебная практика, рекомендации, необходимые изменения законодательства», «Приложение 1. Судебно-следственная практика» (оба раздела — в соавторстве с Н. П. Пятиизбянцевым).
Е. В. Казакова — «Претензионная работа с картами» (в соавторстве с С. В. Серебряковым).
И. Б. Колесов (независимый эксперт) — «Доклиентский цикл и его безопасность» (в соавторстве с С. Е. Фегиной).
М. В. Кузин («Газпромбанк») — «PCI DSS и реальная безопасность платежной системы банковских карт», «Оценка рисков эмитента в платежной системе банковских карт с использованием мониторинга транзакций».
Н. П. Пятиизбянцев («Газпромбанк») — «Уголовная ответственность за преступления в сфере банковских карт — анализ законодательства, особенности, проблемы расследования, экспертиза поддельных карт, квалификация преступлений, судебная практика, рекомендации, необходимые изменения законодательства», «Приложение 1. Судебно-следственная практика» (оба раздела — в соавторстве с А. М. Дорониным).
Г. В. Саенко (Экспертно-криминалистический центр МВД России) — «Приложение 2. Типовая методика исследования информации, находящейся на магнитной полосе платежных карт» (в соавторстве с О. В. Тушкановой).
С. В. Серебряков (Связной Банк ЗАО) — «Претензионная работа с картами» (в соавторстве с Е. В. Казаковой), «Физическая безопасность (вопросы проектирования помещений ПЦ и организация доступа в помещения и зоны)».
О. В. Тушканова (Экспертно-криминалистический центр МВД России) — «Приложение 2. Типовая методика исследования информации, находящейся на магнитной полосе платежных карт» (в соавторстве с Г. В. Саенко).
С. Е. Фегина (независимый эксперт) — «Доклиентский цикл и его безопасность» (в соавторстве с И. Б. Колесовым)
М. С. Эмм (НИП «Информзащита») — «Стандарты международных платежных систем (PCI DSS)».
А. В. Юрьев (АКБ «Абсолют Банк») — «Основные направления обеспечения информационной безопасности корпоративной системы как фундамента безопасности карточного бизнеса».
А. С. Воронин
Руководитель проекта, редактор-составитель Центр исследований платежных систем и расчетов
Рядовая сценка из повседневной жизни — кассир супермаркета, принимая банковскую карту к оплате, возвращает ее клиенту, даже не взглянув на подпись на чеке электронного терминала и не сверив ее с подписью на обратной стороне карты. Самое большее, на что хватает усердия и внимания кассового работника магазина, как правило, — проверить дату окончания действия карты. И это только один пример — из торговой сферы, где низкая квалификация кассовых работников, связанная отчасти с высокой текучестью кадров, отчасти — с недостаточным пониманием важности проблемы со стороны руководства — не исключение, а скорее правило. А сколько аналогичных случаев в других сферах, на других этапах сложной технологической и организационной цепочки, которые проходит карточка от производственного цеха до кошелька клиента банка? И даже когда карточка уже дошла до кошелька своего законного держателя, риски не уменьшаются — скорее наоборот. Банковские специалисты знают об одном извечном феномене — сколько ни повторяй клиентам — держателям карт, сколько ни пиши в буклетах, что нельзя в одном кошельке носить карточку и ПИН-код, а тем более записывать его на карточке — клиенты продолжают это делать.
Человеческий фактор, увы, способен свести на нет достижения самых современных технологий, усилия многих и многих высококвалифицированных специалистов — производителей карт, которые делают заготовки из высококачественного пластика со специальными защитными элементами (редкий кассир торгового предприятия способен оценить качество пластика, знает защитные элементы); методологические разработки специальных структур МПС, разрабатывающих стандарты безопасности по операциям с картами; усилия законодателей и представителей правоохранительных органов. Спрашивается, для чего тогда нужны качественный пластик, надежные технологии, международные стандарты, адекватное законодательство?
Есть очевидная аксиома, известная специалистам по управлению рисками в любом бизнесе, — свести риски к нулю нельзя, но минимизировать — можно и нужно. Это, безусловно, относится и к карточной сфере. Для минимизации рисков и существуют технологии, стандарты, законы и многое другое — все то, чему посвящена эта книга.
Современный карточный бизнес существует в очень агрессивной внешней среде. Особенность пластиковой карточки как банковского инструмента удаленного доступа к счету клиента, причем настолько эффективного, что границы между государствами перестали иметь значение, привела к международному размаху карточного мошенничества. Первый раздел книги посвящен его видам (скиммингу, фишингу и т. д.), рискам и угрозам для банка (эмитента и эквайрера), которые влечет за собой мошенническая активность, возможностям предупреждения и противодействия, способам минимизации рисков. В обзоре обобщены и систематизированы наработки ведущих международных платежных систем, российских и иностранных кредитных организаций, практикующих экспертов в области борьбы с карточным мошенничеством.