Безопасность карточного бизнеса : бизнес-энциклопедия.
- * * *
- Глава 1. Мошенничество в сфере банковских платежных карт.
- Обзор банковских рисков от мошенничества с платежными картами и их реквизитами. Практические меры по минимизации рисков и ущерба от действий мошенников для банков эмитентов и эквайреров.
- Виды мошенничества для кредитной организации — эмитента.
- Утерянные/украденные карты (Lоst/Stоlеn саrds).
- Неполученные карты (Nоt Rесеivеd Itеms) или карты, украденные во время их передачи от банка клиенту.
- Поддельные карты (Соuntеrfеit саrds, СNТF) или фальсифицированные карты.
- Оплата по реквизитам карты Саrd Nоt Рrеsеnt (СNР-фрод).
- Использование персональных данных третьих лиц в мошеннических целях (ID Тhеft).
- Виды мошенничества для эквайрера.
- Предприятия, регистрируемые для совершения мошенничества.
- Мошенничество персонала торговой точки.
- Подлог платежных документов, передаваемых в банк на оплату.
- Перехват счета ТСП (Меrсhаnt Ассоunt Такеоvеr).
- Обналичивание.
- Иные виды мошенничества.
- Мошенничество с использованием банкоматов.
- «Скимминг».
- Снятие наличных по картам, украденным вместе с ПИН-кодом.
- «Дружественное» мошенничество.
- «Ливанская петля» (саrd trаррing).
- Подмена или хищение карты.
- «Щипачество».
- Саsh Тrаррing (накладки на лотке для выдачи наличных).
- Мошенничество, направленное на сбор информации о платежных реквизитах карт.
- Фишинг (рhishing). Фарминг (рhаrming).
- Фальшивые банкоматы и пункты выдачи наличных.
- Практические меры комплексной защиты банка-эмитента.
- Практические меры комплексной защиты банка-эквайрера.
- Уголовная ответственность за преступления в сфере банковских карт.
- Потери в сфере платежных банковских карт.
- Криминальная деятельность и Уголовный кодекс Российской Федерации.
- Юридическая квалификация и виды хищений, совершаемых с платежными картами.
- Понятие, виды и способы совершения хищений в сфере оборота платежных карт.
- «Кража» — ст. 158 УК РФ.
- «Мошенничество» — ст. 159 УК РФ.
- «Причинение имущественного ущерба путем обмана или злоупотребления доверием» — ст. 165 УК РФ.
- Предмет и объект данной категории преступлений.
- Установление потерпевшего.
- Признаки и содержание объективной стороны.
- Объективная сторона кражи.
- Объективная сторона мошенничества.
- Объективная сторона причинения имущественного ущерба путем обмана или злоупотребления доверием.
- Субъект и субъективная сторона хищений, совершаемых в данной сфере.
- Субъективная сторона кражи.
- Субъективная сторона мошенничества.
- Уголовно-правовая характеристика и способы совершения преступлений, связанных с изготовлением в целях сбыта и сбытом поддельных кредитных или расчетных карт, а также иных платежных документов. Статья 187 УК РФ.
- Кредитные, расчетные карты и иные платежные документы как предмет преступного посягательства.
- Составляющие объекта и объективной стороны преступления.
- Сбыт поддельных кредитных либо расчетных карт.
- Определение «иные платежные документы».
- Поддельные платежные документы.
- Изготовление поддельных платежных документов.
- Субъект и субъективная сторона преступления.
- Компьютерные преступления в сфере оборота платежных карт.
- Статьи 272 и 273 УК РФ. Понятие, виды и способы совершения преступлений.
- Предмет и объект преступлений.
- Признаки и содержание объективной стороны.
- Субъект и субъективная сторона.
- «Банковская тайна» — ст. 183 УК РФ.
- Анализ уголовного законодательства применительно к преступлениям с банковскими картами.
- Общественная опасность.
- Конфликт интересов дознания и следствия.
- Применение статьи 187 УК РФ.
- Применение статей 158 и 159 УК РФ.
- Пример сопроводительного письма с переводом ответа от банка-эмитента.
- Примеры.
- 1.
- 2.
- Пример.
- * * *
- Глава 2. Международные стандарты безопасности.
- Стандарты международных платежных систем: РСI DSS и смежные стандарты.
- Стандарт РСI DSS.
- История стандарта.
- Сферы применения РСI DSS.
- Описание требований стандарта.
- Построение и поддержание защищенной сети.
- Защита данных держателей карт.
- Реализация программы управления уязвимостями.
- Реализация мер по строгому контролю доступа.
- Регулярный мониторинг и тестирование сетей.
- Поддержание политики информационной безопасности.
- Применение компенсационных мер.
- Применимость стандарта и подтверждение его соблюдения.
- Описание программы VISА АIS.
- Применимость стандарта безопасности данных РСI в организациях, работающих с VISА.
- Инструменты проверки соответствия.
- Инструменты проверки.
- Кто может проверять соответствие?
- Необходимые действия.
- В случае компрометации.
- Описание программы МаstеrСаrd SDР.
- Факты о РСI DSS.
- Прочие стандарты РСI.
- РСI РЕD[74]
- РА DSS.
- РСI DSS и российская действительность.
- РСI DSS и реальная безопасность платежной системы банковских карт.
- Безопасность платежных карт — два пути.
- РСI DSS = безопасность платежных карт?
- Недостатки и противоречия РСI DSS.
- * * *
- Глава 3. Обеспечение безопасности карточного бизнеса.
- Оценка рисков эмитента в платежной системе банковских карт с использованием мониторинга транзакций.
- Платежные карты и риски банка.
- Мошенничество с банковскими картами и риски эмитента.
- Постановка задачи мониторинга транзакций.
- Классификация СМТ.
- Мониторинг транзакций эмитентом.
- Проблема принятия решений при мониторинге.
- Особенности мониторинга некоторых операций.
- Подходы к оценке рисков.
- Оценка рисков в ПСБК.
- Украденные и утерянные карты.
- Неполученные карты.
- Поддельные карты.
- Операции без присутствия карты.
- Использование данных клиента и информации по счету.
- ЕRD-диаграмма[82] базы данных мошеннических операций.
- Расчет рисков.
- Примеры мониторинга операций.
- Мониторинг операций в разных странах с присутствием карты.
- Мониторинг операций по картам, использовавшимся в регионе возможной компрометации.
- Выявление мошеннических операций в сети Интернет.
- * * *
- Основные направления обеспечения информационной безопасности корпоративной системы как фундамента безопасности карточного бизнеса.
- Основные принципы защиты рабочих станций сотрудников банка.
- Использование SIЕМ и сканера безопасности в организации и как это упрощает жизнь.
- Немного о ПО для взломов и защите.
- Реальная безопасность вместо бумажной.
- Доклиентский цикл и его безопасность.
- Производство заготовок, доставка в банк и хранение.
- Безопасность центра персонализации.
- Глава 4. Претензионная работа в банке.
- Общие положения.
- Расчетный цикл операций по банковским картам.
- Оформление претензий клиентов.
- Структура АRN (АRD, асquirеr rеfеrеnсе dаtа).
- Пример.
- Основные этапы претензионного цикла.
- Работа с сопроводительными документами.
- Временные диапазоны претензионного цикла.
- Nоn-соmрliаnсе и Рrе-Соmрliаnсе. Gооd Fаith Lеttеr.
- Ежедневные процедуры претензионного цикла.
- * * *
- Глава 5. Обеспечение безопасности процессингового центра.
- Физическая безопасность бюро персонализации.
- Определение внешнего периметра.
- Требования к зданию БП.
- Процедуры доступа в помещения БП.
- Помещение приема/передачи (gооds/tооls trар, GТТ).
- Описание процедуры приема/передачи карт.
- Требования к производственным помещениям (НSZ) БП.
- Понятие и описание шлюза.
- Требования к помещениям персонализации и распечатки ПИН-конвертов.
- Серверная (комната генерации ключей).
- Хранилище БП.
- Помещение для уничтожения карт и прочих материалов.
- Запасный выход, датчики, освещение, контроль периметра.
- Камеры наблюдения и видеозапись.
- Комната охраны (мониторная, SСR).
- * * *
- Безопасность аппаратной и сетевой инфраструктуры.
- Общие вопросы организации сетевой безопасности.
- Сетевой уровень безопасности.
- Пользовательский уровень безопасности.
- Безопасность уровня приложений.
- Инновационные решения в области обеспечения безопасности ПЦ.
- Приложения.
- Приложение 1. Судебно-следственная практика.
- Уголовное дело № 7013396 от 11 октября 2007 г., Астрахань. Эквайринг ТСП.
- ЗАЯВЛЕНИЕ О ПРЕСТУПЛЕНИИ одного из банков-эквайреров:
- (Извлечения).
- Обвиняется.
- <…>
- <…>
- <… >
- <…>
- Судебные решения.
- Постановление.
- (Извлечения).
- Постановил:
- ПРИГОВОР ИМЕНЕМ РОССИЙСКОЙ ФЕДЕРАЦИИ.
- (Извлечения).
- УСТАНОВИЛ:
- <… >
- <…>
- Суд.
- Приговорил.
- Кассационное определение.
- (Извлечения).
- Уголовное дело № 22-349/09 от 5 февраля 2009 г.
- Судебная коллегия.
- Установила:
- <… >
- <… >
- <… >
- Судебная коллегия.
- Определила.
- Постановление.
- (Извлечения).
- Установил:
- <… >
- <… >
- <… >
- Постановил:
- Комментарии.
- Уголовное дело № 044162 от 11 марта 2008 г., Москва. Эквайринг ТСП ЗАЯВЛЕНИЕ.
- Приговор.
- (Извлечения).
- Преображенский районный суд г. Москвы…
- Установил:
- <…>
- Приговорил:
- Уголовное дело № 152830, Екатеринбург. Скимминговые накладки Обвинительное заключение.
- (Извлечения).
- Обвиняется:
- <…>
- <… >
- <… >
- <… >
- <… >
- <… >
- Приговор.
- (Извлечения).
- Ленинский районный суд г. Екатеринбурга…
- Установил:
- <…>
- Приговорил:
- Фотографии из уголовного дела № 152830.
- Уголовное дело № 772270 от 8 июля 2008 г., Санкт-Петербург.
- Заявление.
- (Извлечения).
- <…>
- Обвинительное заключение.
- (Извлечения).
- Обвиняется:
- <… >
- <…>
- <… >
- <… >
- <… >
- <… >
- <… >
- <… >
- Приговор.
- (Извлечения).
- Судья Приморского районного суда г. Санкт-Петербурга.
- Установил:
- <…>
- Приговорил:
- Фотографии из уголовного дела № 772270.
- Уголовное дело № 50570 от 31 августа 2007 г., Йошкар-Ола. Эквайринг АТМ.
- Обвинительное заключение.
- (Извлечения).
- Обвиняется:
- <…>
- <…>
- <…>
- <… >
- Судебные решения.
- Приговор.
- (Извлечения).
- <… >
- Постановил:
- Приговор.
- (Извлечения).
- Установил:
- <…>
- <… >
- <… >
- <… >
- <… >
- Суд.
- Приговорил:
- <… >
- <… >
- <… >
- <… >
- <… >
- <… >
- <… >
- Кассационное определение.
- Фотографии из уголовного дела № 50570.
- Уголовное дело № 248100, Санкт-Петербург. Фабрика «Lеrоу» Обвинительное заключение.
- (Извлечения).
- Обвиняется:
- <… >
- <…>
- <…>
- <…>
- <… >
- <… >
- Судебные решения.
- Приговор.
- (Извлечения).
- Установил:
- <… >
- <… >
- Приговорил:
- <… >
- <… >
- <… >
- <… >
- <… >
- <… >
- <… >
- <… >
- <… >
- <…>
- Кассационное определение.
- (Извлечения).
- Установила:
- <… >
- Определила:
- Фотографии из уголовного дела № 248100.
- Приложение 2. Типовая методика исследования информации, находящейся на магнитной полосе платежных карт[111]
- Экспертная задача.
- Объекты исследования.
- 1. Функции пластиковых карт.
- 2. Понятие и основные характеристики платежных карт.
- 3. Внешний вид и основные реквизиты пластиковых платежных карт с магнитной полосой (рис. П2.1).
- 4. Формат записи информации на магнитную полосу платежной карты.
- Алгоритм расчета контрольной цифры номера карточки (Luhn-алгоритм):
- ВIN (идентификационный номер банка).
- Сущность методики.
- 1. Разрешаемые вопросы.
- 2. Оборудование.
- 3. Последовательность действий.
- Формулирование выводов.
- Литература.
- Примечания.
- 1.
- 2.
- 3.
- 4.
- 5.
- 6.
- 7.
- 8.
- 9.
- 10.
- 11.
- 12.
- 13.
- 14.
- 15.
- 16.
- 17.
- 18.
- 19.
- 20.
- 21.
- 22.
- 23.
- 24.
- 25.
- 26.
- 27.
- 28.
- 29.
- 30.
- 31.
- 32.
- 33.
- 34.
- 35.
- 36.
- 37.
- 38.
- 39.
- 40.
- 41.
- 42.
- 43.
- 44.
- 45.
- 46.
- 47.
- 48.
- 49.
- 50.
- 51.
- 52.
- 53.
- 54.
- 55.
- 56.
- 57.
- 58.
- 59.
- 60.
- 61.
- 62.
- 63.
- 64.
- 65.
- 66.
- 67.
- 68.
- 69.
- 70.
- 71.
- 72.
- 73.
- 74.
- 75.
- 76.
- 77.
- 78.
- 79.
- 80.
- 81.
- 82.
- 83.
- 84.
- 85.
- 86.
- 87.
- 88.
- 89.
- 90.
- 91.
- 92.
- 93.
- 94.
- 95.
- 96.
- 97.
- 98.
- 99.
- 100.
- 101.
- 102.
- 103.
- 104.
- 105.
- 106.
- 107.
- 108.
- 109.
- 110.
- 111.
- 112.
- 113.
- 114.
- 115.
- 116.
- 117.
- 118.
А. К. Алексанов, И. А. Демчев, А. М. Доронин.