Совершенствование обеспечения безопасности электронных платежных систем - где лежат слабые места?

199₽ VIP

Использование кредитных карт для проведения платежей через Интернет связано с определенными техническими недостатками. Сделки, относящиеся в международной классификации к типу mail order/telephone order (mo/to), были достаточно распространены еще в предшествующие Интернету времена в странах с развитыми карточными платежными системами, но в силу специфики товаров, выставляемых на продажу в Интернете, оказались слабозащищенными от мошенничества, будучи просто перенесенными в Интернет. При оформлении сделок mo/to с получением номера карты вне Мнтернета у продавца всегда есть возможность провести аутентификацию (определение личности) клиента при доставке товара. Правила торговли по картам предполагают обязательную аутентификацию покупателя как держателя предъявленной карты, будь то платеж в магазине с прокатыванием карты, когда кассир удостоверяется в том, что берет оплату именно с держателя карты, или доставка товара по заказу, сделанному по телефону, когда служба доставки несет ответственность за доставку товара именно заказчику в полной мере соблюдение этих правил в Интернете невозможно.

Частичным решением указанных проблем может быть использование протоколов (программы) шифрования SSL и SET, который является сегодня наиболее защищенным, но в силу различных причин еще не получил достаточного распространения.

Учитывая достаточно неоднозначный характер ст. 9 Закона о НПС, Банк России выпустил Письмо от 14.12.2012 N 172-Т "О Рекомендациях по вопросам применения статьи 9 Федерального закона "О национальной платежной системе". В Приложении к указанному Письму отмечается, что кредитная организация на основе предоставленной клиентом и иной доступной информации оценивает степень риска, связанного с предоставлением клиенту конкретного вида электронного средства платежа. Методика оценки данного риска должна включать критерии оценки и характеристику случаев повышенного риска, которые необходимо отражать во внутренних документах кредитных организаций

Распределение ответственности в сфере применения технологий ДБО в связи с вступлением в действие ст. 9 Закона об НПС - наиболее острый вопрос, требующий доработки и четкого понимания обеими сторонами (банками и их клиентами). В действующей редакции Закона большая часть ответственности возлагается на кредитные организации, поэтому становятся понятны их многочисленные обращения к регулятору с просьбами выстроить сбалансированную справедливую систему, в которой все участники защищены и имеют возможность получить необходимую информацию.

Суть обращений банков к регулятору сводится к тому, что каждая из сторон должна нести ответственность за свои действия (или бездействие) в пределах, не превышающих ее возможностей, а также не должна допускать неотвратимого и безнаказанного причинения ущерба другой стороне.

В связи с этим регулятору было бы целесообразно:

- установить минимальный набор средств защиты, который банк должен обеспечивать клиенту. Этот набор определяется исходя из соображений, что при условии строгого соблюдения клиентом всех правил, установленных банком, риск потерь при проведении операции в обычных условиях не превышает допустимую величину;

- контролировать предоставление банками минимального набора средств защиты для клиентов;

- обязать банки по желанию клиента предоставлять ему дополнительные средства защиты (например, ограничения на суммы, виды операций, режимы и каналы проведения, использование дополнительного подтверждения транзакции и пр.);

- обязать банки предоставлять клиенту полную и изложенную в доступной для понимания обычным пользователем форме информацию о рисках, основных и дополнительных средствах защиты, правилах использования средств защиты и оборудования, применяемого при проведении операции (клиент должен четко понимать риски и знать, что он имеет право или не имеет права делать, и письменно подтвердить, что ознакомлен с правилами проведения транзакций и осознает принимаемые на себя риски).

Перенос рисков на банки повлечет рост цен на оказание услуг (риски неизбежно закладываются в стоимость банковского продукта). Добросовестные держатели банковских карт, которые соблюдают элементарные правила безопасности, будут вынуждены переплачивать за тех клиентов, которые пишут свой PIN на карте.

Оберегайте личную информацию

Здравствуйте, Елизавета!

Слабое место в технической, функционально и правовой защите которое требует совершенствование для повышения уровня безопасности обращения электронных денег в РФ.

Техническая защита:

привязка платежного сервиса к фиксированному IP-адресу и телефонному номеру клиента;

осуществление клиентского доступа в систему по зашифрованному протоколу HTTPS/SSL;

возможность использования виртуальной клавиатуры для набора данных идентификации (противодействие перехвату личных данных);

разделение каналов формирования транзакций и канала авторизации транзакций: ?авторизация транзакций осуществляется через специальный код, который при совершении платежа клиент получает от системы на свой мобильный телефон по SMS (случайная комбинация букв и цифр, действующая только в течение нескольких минут).

К функциональным методам защиты можно отнести установление ограничений при использовании электронных денег, периодическое обновление программного обеспечение.

Правовой метод безопасности регулирования электронных денег представляет собой, законодательную базу регламентирующую порядок использования и обработки данных и устанавливающую меры ответственности за нарушение законодательства.

Удачи.