Читаем Мошенничество в платежной сфере полностью

Мошенничество в платежной сфере

PCI Security Standards Council в январе 2013 г. выпустил документ Information Supplement: ATM Security Guidelines, который носит рекомендательный характер. В данном документе говорится, что нужен глобальный стандарт по безопасности банкоматов, регламентирующие документы PCI PTS POI Security Requirements и PCI PIN Security Requirements являются превосходными отправными точками для необходимого стандарта. При этом указывается, что они применяются только для ПОС-терминалов и возможность их применения для ATM только рассматривается PCI SCC. Во-первых, непонятно, что подразумевается под SCC. Возможно, это опечатка и имелся в виду SSC — Security Standards Council? Во-вторых, получается, что регламентирующих документов в отношении безопасности банкоматов со стороны PCI SSC нет, в том числе не подлежат обязательному исполнению PCI PTS и PCI PIN. Хотя в данных документах имеются прямые указания на требования в том числе и к банкоматам. Например, PCI PIN просто начинается с упоминания о банкоматах — в этом документе содержится полный комплект требований по безопасному управлению, обработке и передаче данных персонального идентификационного номера (ПИН) в процессе транзакции платежной карты в режимах онлайн и офлайн в банкоматах и терминалах для производства платежей в месте совершения покупки (ПОС-терминалах). В PCI PTS также говорится, что он распространяется на банкоматы, например ПИН-клавиатура банкомата должна быть сертифицирована по данному документу. Недостаточная проработанность данного документа (ATM Security Guidelines) проявляется в пункте 3.2, в котором говорится, что похищенная на банкоматах информация ПИН и трек (account data) применяются криминалом для изготовления поддельных карт и используется по всему миру, включая снятия в банкоматах, покупки в ПОС с ПИН, а также покупки без ПИН в операциях без присутствия карты. Такое утверждение свидетельствует о полном непонимании технологии мошенничества. Если у злодея есть трек и ПИН, зачем ему нужно в торговом ПОС-терминале осуществлять покупку (с использованием ПИН-кода), вместо того чтобы просто снять наличные в банкомате? Если есть только трек, но ПИН-кода нет, то изготавливают поддельную карту и используют в торговом ПОС-терминале, а не в card-not-present, так как нет CW2/CVC2 и 3D Secure.

Положение ЦБР от 24.04.2008 № 318-П «О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монет Банка России в кредитных организациях на территории Российской Федерации» указывает, что в качестве средств безопасности кредитные организации могут применять специальные кассеты для банкоматов, которые в случае несанкционированного их вскрытия окрашивают купюры специальной краской.

7.3. При перевозке наличных денег, инкассации наличных денег кредитная организация может использовать специальные устройства для упаковки наличных денег, в случае несанкционированного вскрытия которых происходит окрашивание банкнот Банка России специальной краской, обладающей устойчивостью к воздействию растворителей, химических реактивов и другими отличительными характеристиками, позволяющими идентифицировать ее наличие на банкноте Банка России. В этом случае, а также при страховании наличных денег, перевозимых или инкассируемых в автотранспорте, требования, установленные в абзаце первом пункта 7.2 настоящего Положения, к оборудованию автотранспорта могут не применяться.

7.2. Для перевозки наличных денег, инкассации наличных денег кредитные организации, ВСП применяют технически исправный автотранспорт, оборудованный броневой защитой.

Условия приема ЦБ РФ окрашенных купюр от банков определены в Указании ЦБР от 05.06.2009 № 2248-У «Об условиях и по рядке приема на экспертизу и обмена банкнот Банка России, окрашенных специальной краской, на территории Российской Феде рации».

Читаем Мошенничество в платежной сфере полностью

Мошенничество в платежной сфере

Похожие книги

Все жанры