К организационным средствам управления рисками можно отнести проверку и аттестацию персонала, имеющего доступ к критическим данным.

Безопасность процедур персонализации должна обеспечиваться еще на стадии проектирования центра, исходя из требований последующей сертификации в международных платежных системах. В частности, планировка и конструкция помещений должны предусматривать ряд зон (производственная зона, зона приема-передачи, зона печати ПИН-конвертов, зона хранения и т. п.), оборудованных техническими средствами ограничения доступа, мониторинга и аудита. Особое внимание также должно быть уделено подбору персонала.

Стандарт защиты информации в индустрии платёжных карт (PCI DSS)

В 2006 г. Советом по стандартам безопасности индустрии платежных карт (PCI Security Standards Council), образованным пятью ведущими платежными системами American Express, Discover Financial Services, JCB, MasterCard и VISA, был опубликован стандарт защиты информации в индустрии платежных карт — Payment Card Industry Data Security Standard (PCI DSS).

Данный стандарт объединяет в себе требования ряда нормативных документов платежных систем в области защиты информации, в частности:

• Visa Europe other regions: Account information security (AIS);

• Visa USA: Cardholder information security (CISP);

• MasterCard: Site data protection (SDP).

Требования стандарта распространяются на все компании (процессинговые центры, платежные шлюзы, провайдеры интернет), работающие с международными платежными системами. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей, выполняемые сертифицированными аудиторами.

Стандарт PCI DSS устанавливает следующие области контроля и 12 основных требований, которым должна соответствовать организация для аттестации на соответствие стандарту.

I. Построение и сопровождение защищенной сети

1. Создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей карт;

2. Неиспользование уставленных по умолчанию поставщиками решений системных паролей и иных параметров безопасности.

II. Защита данных держателей карт

3. Обеспечение защиты данных держателей карт в процессе хранения;

4. Обеспечение пересылки данных держателей карт в зашифрованном виде при их передаче через незащищенные и общедоступные сети.

III. Поддержка программы управления уязвимостями

5. Использование и регулярное обновление антивирусного программного обеспечения;

6. Разработка и поддержка защищенных (безопасных) систем и приложений.

IV. Реализация мер по строгому контролю доступа

7. Ограничение доступа к данным по принципу служебной необходимости;

8. Присвоение уникального идентификатора каждому лицу, располагающему доступом к компьютеру;

9. Ограничение физического доступа к данным держателей карт

V. Регулярный мониторинг и тестирование сетей

10: Запись и отслеживание всех сеансов доступа к ресурсам сети и данным держателей карт;

11. Регулярное тестирование систем и процессов обеспечения безопасности.

VI. Поддержание политики информационной безопасности

12. Наличие и исполнение в организации политики информационной безопасности[238].

В приведенном разделе мы вкратце постарались осветить основные аспекты, связанные с обработкой транзакций по банковским картам — технологические вопросы организации процессинга, организационную структуру, процедуры и вопросы безопасности.

Тем не менее, не претендуя на полноту освещения данных вопросов, мы надеемся, что приведенный материал окажется полезным читателю как при общем изучении данного вопроса, так и при реализации конкретных проектов.

Оборудование для обслуживания платежных карт

Терминалы, банкоматы, ПИН-пады являются фронтофисными устройствами для обслуживания банковских карт, которые устанавливаются в торгово-сервисных предприятиях (объединенных в эквайринговые сети платежных систем) и в пункты обслуживания банков (bank branch terminals). Поскольку данное оборудование работает во взаимодействии с центрами авторизации (ЦА), их функциональность во многом зависит от применяемого в ЦА решения (например, если в ЦА предусматривается ведение бонусных счетов программ лояльности клиентов, то в терминале реализуется функционал оплаты с бонусного счета клиента). Ко всем банковским устройствам по приему карт предъявляются особые требования по безопасности, регламентируемые платежными системами обслуживаемых карт. Устройства подлежат обязательной сертификации.