Безопасность карточного бизнеса : бизнес-энциклопедия.
Безопасность платежных карт — два пути.
Очевидно, что данные факты свидетельствуют о существенных уязвимостях применяемых в настоящее время платежных технологий, раз такие массовые атаки и случаи компрометации данных становятся возможны из года в год. Принципиальных решений в этой связи может быть два:
1) замена уязвимых технологий более безопасными;
2) сохранение существующих уязвимых технологий и защита их дополнительными методами и системами.
Первый путь связан с миграцией на микропроцессорные карты стандарта ЕМV для предотвращения несанкционированного копирования (скимминга) магнитной полосы карты (защита от Соuntеrfеit Frаud — 34 % всех потерь в мире за 2009 г.) и посредством внедрения более надежных систем аутентификации держателя карты при проведении операций без присутствия карты (противодействие Саrd Nоt Рrеsеnt Frаud — 41 % всех потерь в мире за 2009 г.), причем в последнем случае в ряде решений также может использоваться ЕМV-карта. Повсеместного перехода на микропроцессорные карты до сих пор не произошло, и хотя уже более 60 стран мира начали процесс миграции, США являются пока единственной страной G20 («Большая двадцатка» наиболее экономически развитых стран мира), официально даже не начавшей его.
К настоящему моменту отказ от использования микропроцессорных карт стоит США весьма дорого — так, потери от мошенничества с платежным картами в 2009 г. составили 6,89 млрд долл. США и к 2015 г. могут достигнуть 10 млрд долл. США. По некоторым оценкам стоимость принятия мер по каждому факту компрометации данных платежной карты в США составляет 202 долл. США, так что только в 2008 г. на устранение последствий атак был потрачен 1 трлн долл. США. По оценкам экспертов стоимость миграции на ЕМV для США составляет 8,6 млрд долл. США, т. е. вполне сопоставима с ежегодными потерями от мошенничества в 6,89 млрд долл. США! Тем не менее США, а вместе с ними и весь остальной мир по требованиям международных платежных систем пошли по второму пути.
Второй путь состоит, как мы уже определили выше, в защите существующих уязвимых технологий (прежде всего — платежных карт с магнитной полосой). Для разработки повышенных требований к обеспечению безопасности данных платежных карт в 2006 г. был создан специальный Совет стандартов безопасности индустрии платежных карт (Рауmеnt Саrd Industrу Sесuritу Stаndаrds Соunсil), в который вошли Аmеriсаn Ехрrеss, Disсоvеr Finаnсiаl Sеrviсеs, JСВ, МаstеrСаrd Wоrldwidе, VISА Intеrnаtiоnаl. Стандарт Рауmеnt Саrd Industrу Dаtа Sесuritу Stаndаrd (РСI DSS, в настоящий момент версия 2.0, далее — Стандарт) определяет требования безопасности для защиты информации, относящейся к платежной карте, и должен использоваться тогда, когда номер карты хранится, обрабатывается или передается.
Приведенные в Стандарте требования[77] призваны обеспечить безопасность данных платежных карт за счет повышения защищенности автоматизированных систем, в которых эти данные обрабатываются. Соответствие требованиям Стандарта должно означать, что система защищена и компрометация данных в ней произойти не может. Однако вышеназванные компании, в которых были скомпрометированы данные, — Саrd Sуstеms Sоlutiоns, RВS WоrldРау, Неаrtlаnd Рауmеnt Sуstеms, — до этого проходили аудит и получили статус соответствия Стандарту. Примечательно, что компании RВS WоrldРау и Неаrtlаnd Рауmеnt Sуstеms в марте 2009 г. были исключены VISА из списка соответствующих стандарту, но сразу же заявили, что надеются вновь пройти сертификацию уже в апреле и мае 2009 г. соответственно, и достигли этого соответствия.