журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
Банковское регулирование

БАНКОВСКИЕ СИСТЕМЫ

Международные банки

ИТОГИ И ТЕНДЕНЦИИ

Банковские отделения

БАНКОВСКИЕ СТРАТЕГИИ

МОБИЛЬНЫЙ БАНКИНГ

БАНКОВСКИЙ СЕРВИС

Банковская деятельность

Банковское оборудование

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

БАНКОВСКИЙ МЕНЕДЖМЕНТ

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №6, 2007

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

Эволюция стандартов безопасности

Эмитенты платежных карточек и производители банкоматов внедряют новые технологии защиты клиентской информации при совершении платежей

Обеспечение безопасности платежных трансакций продолжает оставаться одной из важнейших задач мировой отрасли финансовых услуг. Сложность ее решения требует постоянной эволюции стандартов безопасности платежных данных, чем и намерена заняться в ближайшее время созданная в конце прошлого года специальная организация – независимый Совет по стандартам безопасности в секторе расчетных операций (PCI Security Standards Council).

Дюжина требований

нового Совета

Стандарт безопасности данных в сфере платежных карточек – Payment Card Industry (PCI) Data Security Standard (PCI DSS) – был разработан платежными системами Visa International и MasterCard для усиления защищенности электронных торговых и расчетных систем. Данный стандарт включает набор инструментов и операций, призванных обеспечить безопасное обращение с секретной и конфиденциальной информацией. В сентябре 2006 года пять крупнейших мировых эмитентов платежных карточек American Express, Discover Financial Services, JCB, MasterCard Worldwide и Visa International объявили об учреждении независимой структуры – PCI Security Standards Council, возложив на себя ответственность за обеспечение развития и эволюции стандартов безопасности платежных данных.

Как отмечают эксперты, создание такого органа стало важным этапом в деятельности платежных систем по защите персональных данных в мировом масштабе. Повышение уровня защиты от мошенничества и краж данных принесет очевидную пользу более чем миллиарду держателей карт по всему миру.

«Платежные системы, основавшие PCI Security Standards Council, стремятся обеспечить постоянное развитие эффективных стандартов защиты данных, – заявляет председатель Совета Шина Питт. – Совет можно считать значительным шагом вперед в обеспечении безопасности сведений о держателе карты». По ее словам, сформировав независимый Совет для работы над стандартом безопасности PCI в платежной сфере, его члены создают и развивают систему, более доступную и эффективную для всех участников платежного процесса, включая торгово-сервисные предприятия, процессинговые центры, торговые точки и финансовые организации.

По данным Питт, деятельность Совета по стандартам безопасности PCI включает в себя проведение следующих мероприятий:

1. Развитие и укрепление глобального стандарта безопасности технических данных для защиты информации о владельце счета.

2. Снижение издержек и сроков внедрения Стандарта безопасности данных благодаря созданию единых технических норм и процедур проверки для использования всеми платежными системами.

3. Формирование базы данных квалифицированных разработчиков решений в области безопасности, публикация базы на сайте Совета в целях содействия участникам в достижении и соблюдении единых стандартов.

4. Проведение тренингов, обучающих семинаров, а также координация процесса сертификации квалифицированных экспертов в области безопасности (Qualified Security Assessors – QSA) и авторизованных продавцов оборудования для сканирования данных (Approved Scanning Vendors – ASV) за счет введения единой системы аттестации, признанной всеми пятью учредителями.

5. Создание единого дискуссионного пространства, с тем чтобы все участники платежного процесса имели возможность влиять на разработку, совершенствование и внедрение стандартов информационной безопасности.

«Обеспечение безопасности электронных платежей следует считать важнейшей задачей для всех участников рынка безналичных платежей, а не только для платежных систем», – говорит Шина Питт. По ее словам, Совет будет действовать как консультационная группа и займется общей разработкой стандартов безопасности PCI. Каждая платежная система по-прежнему будет нести ответственность за внедрение собственных стандартизованных программ.

Совет по стандартам безопасности начал свою деятельность с принятия в конце 2006 года Стандарта информационной безопасности PCI версия 1.1. Это новая версия универсального стандарта по обеспечению безопасности данных (PCI DSS), принятого MasterCard Worldwide и Visa International в 2005 году. Новый стандарт направлен на определение уровня безопасности, а также формирование рекомендаций для торгово-сервисных предприятий и производителей, помогая устанавливать, какие действия необходимо предпринять для улучшения уровня защиты используемого программного обеспечения. Он содержит 12 требований, которым должны следовать кредитно-финансовые организации, процессинговые центры и любые другие компании, использующие платежные пластиковые карточки по шести основным направлениям.

тСтруктура и поддержка безопасности сети:

lналичие межсетевого экрана для защиты данных с соответствующими настройками;

lзапрет на использование стандартных (установленных производителем) параметров безопасности и системных паролей.

тЗащита данных о владельцах платежных карточек:

lшифрование данных о владельцах платежных карточек и остальной важной информации, передаваемой по общедоступным сетям;

lобеспечение высокого уровня безопасности хранимых данных о владельцах платежных карточек.

тПоддержка программы управления уязвимостями:

lиспользование и регулярное обновление антивирусного программного обеспечения;

lразработка и поддержка безопасности информационной системы и приложений.

тВнедрение и использование мероприятий по контролю доступа:

lраспределенный доступ к данным согласно функциональным обязанностям;

lназначение уникального идентификационного кода для каждого пользователя;

lограничение физического доступа к данным платежных карт.

тРегулярный мониторинг и тестирование безопасности сети:

lмониторинг всех сеансов доступа к ресурсам сети и к данным платежных карт;

lрегулярное тестирование безопасности информационной системы и ведение журналов средств информационной безопасности.

тПоддержка политики информационной безопасности:

lформирование и строгое соблюдение политики информационной безопасности компании.

Таким образом, согласно установленным требованиям оценка соответствия информационной системы стандарту PCI DSS должна проводиться специально аккредитованными организациями, которые отвечают целому комплексу условий, включая опыт работы в сфере безопасности платежных карточек и наличие специалистов необходимого уровня.

Новые стандарты

для банкоматов и киосков

По мнению ряда аналитиков, в том числе и директора Ассоциации производителей и пользователей банкоматов (ATM Industry Association) Лайла Элиаса, действие новых стандартов PCI в большей мере должны ощутить на себе владельцы POS-терминалов, в меньшей – операторы банкоматов и финансовых киосков. Все дело в том, как утверждает Элиас, что в настоящее время операторы АТМ и киосков руководствуются в своей деятельности положениями некоторых других стандартов безопасности, в частности, – Triple DES (стандарт на шифрование данных, заключающийся в трехкратном применении алгоритма шифрования Data Encryption Standard – DES), а также технологии персональной идентификации с помощью PIN-кода.

Предполагается, что эти стандарты будут полностью инкорпорированы в пакет PCI DSS с целью упорядочения норм защиты клиентских данных при проведении платежных операций с помощью таких инструментов как платежные карточки, банкоматы, POS-терминалы и т.д.

«На сегодняшний день уже разработаны унифицированные соглашения в секторе платежных операций. Дело осталось за Советом по стандартам безопасности, ведь именно он призван ввести эти соглашения в действие, – говорит Эдуардо Перес, вице-президент по вопросам управления риском платежных систем компании Visa USA. – Совет обязан внедрять новые стандарты платежей, вовлекая всех участников сегмента расчетных операций в перспективные процессы эволюции стандартов безопасности платежных данных».

По его словам, конечная цель внедрения любых стандартов безопасности, в принципе, сводится к одному: добиться того, чтобы система безопасности обеспечивала защиту конфиденциальных данных и информации о владельце счета или держателе платежной карточки, исключая несанкционированный доступ к ней третьей стороны.

По данным Элиаса, большинство новых банкоматов, отвечающих на сегодняшний день требованиям стандартов безопасности PIN и предусматривающих хранение только последних четырех цифр из номера счета клиента, также не противоречат правилам и нормам PCI. Вместе с тем, программное обеспечение, негласно используемое некоторыми независимыми торговыми организациями в своих операционных устройствах, может хранить и больше данных о клиентских счетах, чем это допускают стандарты PIN и PCI.

С 1 января 2008 года, как сообщил Элиас, все новые банкоматы должны быть оснащены цифровой клавиатурой ввода PIN-кода с устройством шифрования (Encrypted PIN pad) и с поддержкой алгоритма шифрования Triple DES, которые должны пройти сертификацию на совместимость с требованиями PCI. При этом, правда, он отметил, что любой терминал, который уже установлен с сертифицированным компанией Visa устройством ввода PIN-кода (Pin Entry Device), не будет переоснащаться, а продолжит функционирование в обычном режиме. Новые же АТМ должны будут соответствовать еще ряду дополнительных требований согласно стандартам PCI, в частности, на них необходимо будет устанавливать надежно защищенный от несанкционированного вмешательства или взлома модули для устройства ввода, а также для защиты блоков с аппаратно-программным обеспечением.

Что касается финансовых киосков, то им придется преодолеть более серьезные трудности и препятствия в части обеспечения безопасности финансовых трансакций по сравнению с теми же банкоматами, поскольку они уже прошли этап обновления своих защитных функций благодаря внедрению более ранних стандартов безопасности.

«Отдельно расположенные киски остаются предметом нашего пристального внимания. Мы хотим добиться от тех, кто управляет и эксплуатирует эти терминалы, использования необходимого программного обеспечения и принятия действенных мер по защите данных владельцев платежных карточек (они могут сохраняться в их памяти). Причем, речь идет обо всех киосках – от парковочных терминалов и автоматов по продаже авиабилетов и до iPod-киосков (видео-, фото- и музыкальные терминалы)», – говорит Эдуардо Перес.

По его мнению, в финансовых киосках следует использовать только те приложения, безопасность и эффективность которых действительно подтверждена практикой использования подобных программ в секторе платежных трансакций. Так, к примеру, некоторые задействованные в настоящее время в ряде киосков приложения, как выяснилось, могут хранить ранее проходившие через них сведения, а более старые аппараты – осуществлять «пакетные» трансакции через коммутируемые каналы. «Мы постоянно ведем среди операторов разъяснительную работу и требуем от них принятия действенных мер для защиты клиентских данных», – подчеркивает Перес.

Киоски, принимающие оплату за совершение каких-либо финансовых трансакций, как и банкоматы, оснащены встроенными устройствами ввода PIN-кода (т.е. соответствуют требованиям стандарта безопасности PIN), что, естественно, облегчает их модернизацию в целях приведения в соответствие со стандартами PCI. Здесь же следует отметить, что, пытаясь снять с себя ответственность за переход к новым стандартам безопасности, многие крупные розничные торговцы пытаются заставить финансовые институты напрямую осуществлять платежные операции на POS-терминалах, вступая во владение устройствами для считывания карточек. В таком случае розничный торговец уже не обязан приводить свои терминалы в соответствие с требованиями новых стандартов PCI. «В настоящее время тенденция такова, что большинство розничных торговцев стремятся к аутсорсингу своих POS-систем, поскольку они становятся источником затрат для них», – поясняет директор ATM Industry Association Лайл Элиас.

Оплачу одним взмахом!

Тем временем эволюция затрагивает не только стандарты безопасности карточных и банкоматовских трансакций, но и сами АТМ. Причем, прогресс этот, в свою очередь, напрямую зависит от развития новых карточных технологий.

Так, к примеру, в настоящее время стремительно завоевывают популярность бесконтактные платежи на базе технологии радиочастотной идентификации (Radio Frequency Identification – RFID). На сегодняшний день, по данным специалистов, практически все крупные американские розничные торговые сети уже обзавелись соответствующим оборудованием для приема подобных платежей. Наиболее активно бесконтактные расчеты развиваются в сегменте повседневных покупок. Соответствующими банкоматами обзаводятся, в первую очередь, супермаркеты, фитнес-центры, кинотеатры и рестораны быстрого питания.

Сегодня платежные системы Visa и MasterCard активно продвигают по всему миру карточки с функцией бесконтактных платежей. Для оплаты услуг такой карточкой достаточно лишь коснуться терминала, а не ждать, пока кассир «прокатает» карту в считывающем устройстве. Не исключено, что вскоре могут появиться банкоматы, выдающие наличные и по бесконтактным карточкам. Хотя пока ведущие производители АТМ к теме бесконтактных платежей относятся довольно сдержанно, заявляя, что они довольно уязвимы для мошенников.

В то же время, в компании Wincor Nixdorf (один из мировых лидеров по производству АТМ) заверяют, что их банкоматы могут быть оснащены устройствами для работы с бесконтактными картами. Да и опыт производства таких машин у компании уже есть: они были проданы в страны Латинской Америки и Азии. Правда, специалисты Wincor Nixdorf делают оговорку, что «в настоящее время банковское сообщество еще не приняло определенного решения относительно банковских продуктов, использование которых должно или может быть реализовано с использованием бесконтактных технологий именно на банкоматах». Продвижение таких АТМ будет зависеть только от банков.

Как бы там ни было, но американские эмитенты платежных карточек в 2006 году выпустили более 14 млн. бесконтактных кредитных карточек American Express, MasterCard и Visa. Увидев реальную возможность для получения дополнительных доходов, крупнейшие розничные торговые компании США –

7-Eleven, CVS и McDonald's – включились в процесс поддержки бесконтактных платежей по всей стране.

Наряду с этим, международная платежная система Visa International представила в текущем году новое название бесконтактной функции своих платежных продуктов – Visa payWave. Прежде чем выбрать его, Visa провела глобальное маркетинговое исследование. Единое название Visa payWave было выбрано потому, что оно наилучшим образом характеризует необходимое для совершения бесконтактного платежа действие, а также указывает на скорость, легкость и удобство использования бесконтактной функции.

Такой бренд, как отмечают в большинстве своем банкиры, будет хорошо восприниматься англоязычными пользователями VISA, так как он доходчиво отражает суть и удобство бесконтактного платежа: «платеж одним мановением руки».

Карточки и устройства с функцией Visa payWave не нужно прокатывать в платежном терминале. Чтобы рассчитаться за покупку с помощью банковской карты или любого устройства, снабженного функцией Visa payWave (например, – мобильного телефона), владельцу достаточно провести им вблизи банкомата. Дальнейшая трансакция по карте или устройству с функцией Visa payWave проходит, как обычная операция по карте Visa.

На сегодняшний день в мире выпущено более 7 млн. карт Visa с функцией бесконтактной оплаты. С 2005 года возможность бесконтактных платежей реализована в США и в Азиатско-Тихоокеанском регионе. В начале мая 2007 года бесконтактные платежи были представлены в Канаде. В других регионах компанией Visa запущены пилотные проекты для тестирования и определения возможностей коммерческого использования карточек с функцией Visa payWave.

Чип карты с нею подделать практически невозможно. Он использует 128-битное шифрование и создает код для каждой операции по карте. Ключ к шифру каждой карты уникален, его невозможно передать. Даже если мошенник попытается снять информацию о бесконтактном платеже Visa payWave, полученные им данные будут бесполезны.

В ближайших планах Visa – проведение широкой маркетинговой кампании, с тем чтобы подчеркнуть быстроту и удобство бесконтактной функции Visa payWave, повысить узнаваемость нового символа бесконтактных платежей среди потребителей и продемонстрировать простоту трансакций Visa payWave.

Между тем, как прогнозируют аналитики из консалтинговой и исследовательской компании ABI Research, к 2011 году совокупные расходы мировых корпораций на бесконтактное аппаратное и программное обеспечение вырастут до $800 млн. Это втрое больше аналогичного показателя 2006 года. Ускорение расчетов в розничных магазинах и общественном транспорте – вот те главные факторы быстрого распространения бесконтактных платежных технологий, которые выделяют сегодня специалисты ABI Research.

В качестве ключевых точек роста в сфере бесконтактных трансакций эксперты ABI Research называют продажу персональных проездных билетов, открытие кредитных или дебетовых счетов, онлайновый банкинг и связанные с ним электронные платежи. При этом, переломным, как считают они, должен стать именно 2011 год. К тому времени эмитенты платежных карточек, равно как и остальные финансовые институты, будут вкладывать в бесконтактные технологии втрое больше, чем это делают сегодня транспортные компании, внедряя бесконтактные проездные билеты.

В заключение отметим, что отношение потребителей к технологии бесконтактных платежей в целом положительное, ведь она дает возможность избавиться от очередей во всевозможных розничных заведениях. По данным независимого исследования, проведенного в текущем году американской консалтинговой компанией Javelin Strategy & Research для организации Smart Card Alliance (объединяет практически всех разработчиков и изготовителей смарт-карт и RFID-чипов), бесконтактные платежи высоко оцениваются теми, кто пробовал их применять, но широкой известности они, все-таки, еще не приобрели.

Из числа опрошенных Javelin Strategy & Research потребителей, 13% уже обращались к бесконтактным платежам, а 95% из этой группы признали, что данный процесс и на самом деле простой и быстрый. Те, кто воспользовался этой новинкой, доверяют новой платежной технологии: 84% удостоверили ее безопасность (во всяком случае, более безопасна, чем кредитные карточки), причем, признались, что хотели бы пользоваться этими методами при совершении более крупных покупок.

«Большинство американских потребителей уже либо готовы пользоваться технологиями бесконтактных платежей, либо применяют их на деле. Люди ценят бесконтактные платежи за скорость при оплате покупок и простоту расчетов. В части же безопасности, то удивительно, что лишь четверо из десяти рассматривают это условие как основное преимущество подобного типа платежей», – пришли к выводу эксперты Javelin Strategy & Research.

Олег Зайцев,
по материалам The Banker, pcisecuritystandards.org

 
© агенство "Стандарт"