3.2. Сучасні технології підвищення безпечності функціонування міжнародних платіжних карткових систем у вф пат «Укрексімбанк»
Сучасні тенденції бізнесу платіжних карток в Україні безперечно пов’язані із розвитком високих інформаційних технологій. Сьогодні, щоб придбати якийсь товар, пересічному громадянину не обов’язково виходити з дому і ходити по магазинам, достатньо витягнути із гаманця платіжну картку і мати доступ до всесвітньої павутини Internet. Але такий комфорт і зручність, мають й іншу сторону монети – це шахрайство з платіжними банківськими картками, від яких страждають саме клієнти банків.
Шахрайські операції з платіжними пластиковими картками, як серйозна проблема, виникли у 90-х роках у країнах Західної Європи та Америки та були пов’язані з неправомірним використанням як кредитних, так і дебітних карток. Від шахрайства з платіжними картками насамперед страждають клієнти банків, які зазнають фінансових збитків, а також самі банки, втрачаючи не лише гроші, але і репутацію і, як наслідок, клієнтів та торговців, які зацікавленні розрахунку у безготівковій формі за допомогою пластикових карток. Ця проблема постала у нашій країні із розвитком Системи масових електронних платежів. Згідно аналізу звітності в 2011 р. кількість банків-членів платіжних систем, які зазнали збитків, від карткових шахрайств склала 43 банки. Хоча кількість випадків шахрайства з платіжними картками систем Visa і MasterCard в Україну у 2011 році скоротилося в 13 разів, але середня сума збитків завданих однією шахрайською операцією зросла - з 323 грн. до 2174 грн.
Зі зростанням обсягів вітчизняного пластикового ринку проблема безпеки стає дедалі актуальнішою. Шахраї постійно шукають країни, що мають уже значні обсяги емісії карток, але ще не навчилися ефективно боротися з картковими зловживаннями. Сьогодні на українському ринку еквайрінгу працює багато дрібних і середніх банків-еквайрів, не готових витрачати достатню кількість коштів і зусиль на безпеку та якість цієї послуги. У результаті рівень шахрайства за операціями з платіжними картками в Україні набагато вищий від світового, а якість послуги нижча.
Враховуючи цю ситуацію, що склалася, Національний банк України за участю посадових осіб Міністерства внутрішніх справ України та банків-членів платіжних систем 17 лютого 2011 року провів міжвідомчу нараду з питань запобігання та протидії шахрайським діям із використанням платіжних карток. В результаті цієї наради були досягнуті домовленості щодо:
застосування банками України заходів, які нададуть можливість максимально убезпечити здійснення операцій з використанням спеціальних платіжних засобі;
співпраці з представниками Міністерства внутрішніх справ України з метою протидії та запобіганню шахрайству та злочинним діям із використанням платіжних карток;
дотримання рекомендацій банками України щодо уникнення та протидії шахрайським діям, які були напрацьовані фахівцями на міжвідомчій нараді.
Національний банк України взяв на себе зобов’язання забезпечити повідомлення банків та асоціацій про таку інформацію:
- про збитки банків та держателів платіжних карток, а також торговців через незаконні операції з платіжними картками за 2011 рік;
- про рішення міжвідомчої наради та рекомендацій, наданих листом МВС України від 28.12.2011 № 24349-Пп, які обов’язково мають бути враховані банками у своїй роботі щодо запобігання та протидії шахрайству;
- необхідність залучення до системи міжбанківського обміну інформацією стосовно шахрайства з використанням платіжних карток «Exchange-online».
Міністерство внутрішніх справ України має розробити оновлений протокол про взаємодію та обмін інформацією між банками та органами внутрішніх справ із дотриманням законодавства. Також Міністерство зобов’язалось надіслати оновлений проект протоколу банкам-членам платіжних систем та Асоціації «ЕМА» .
Європейська міжнародна асоціація (ЄМА) - це асоціація міжнародного карткового бізнесу Eurocard, Mastercard і Maestro,яка була створена 18 травня 1999 року в Україні. На цій нараді з питань запобігання та протидії шахрайським діям із використанням платіжних карток зобов’язалась на підставі щоквартальних засідань Форуму з безпеки розрахунків інформувати Національний банк України про поточні тенденції та виявлені факти шахрайства з платіжними картками.
Представники комерційних банків України взяли на себе зобов’язання:
- максимально пришвидшити перехід на застосування смарт-карток та поступово обмежать обслуговування карток з магнітною смугою;
- врахувати рекомендацій, наданих листом Міністерства внутрішніх справ України від 28.12.2011 № 24349-Пп забезпечать виконання зазначених заходів;
- розмістити на офіційних сторінках у мережі Інтернет рекомендації держателям платіжних карток щодо безпеки здійснення операцій з їх використанням та доведуть їх до відома користувачів банківських послуг.
- дотримуватись запропонованих заходів про співпрацю та забезпечувати з урахуванням вимог чинного законодавства про банківську таємницю та захист персональних даних належний обмін інформацією з Міністерством внутрішніх справ та Асоціацією «ЕМА» про випадки шахрайства в порядку передбаченому протоколом про взаємодію.
Протягом останнього часу на адресу Національного банку України, Міністерства внутрішніх справ України, Генеральної прокуратури України, надійшло багато скарг громадян щодо несанкціонованого списання коштів з рахунків, невидачі готівки банкоматами, неналежного моніторингу за їх роботою та неможливості оперативного врегулювання спірних ситуацій під час звернення до банків тощо.
Це здебільшого можна пояснити тим, що банки-члени платіжних систем не приділяють достатньої уваги безпеці розрахунків та захисту інформації, не здійснюють належним чином моніторинг і відео нагляд за банкоматами та звичайно продовжують емітувати спеціальні платіжні засоби з магнітною смугою, які є недостатньо захищеними, на відміну від старт-карток Тому банкам потрібно дотримуватись встановлених рекомендацій щодо запобігання і протидії шахрайським операціям з використанням спеціальних платіжних засобів, а саме: приєднатися до захищеної міжбанківської системи, що забезпечує обміну інформацією про шахрайства «Exchange-online»; встановити відео спостереження на банкомати та терміналами самообслуговування; встановити антивірусне програмне забезпечення на банкомати; розмістити у доступному для клієнтів місці рекомендації щодо безпеки здійснення операцій з використанням платіжних карток; максимально прискорити процес переходу на смарт-картки та поступово обмежити обслуговування карток з магнітною смугою тощо.
Міжнародні платіжні картки від Укрексімбанку – це новий ступінь свободи, зручність розрахунків та безпека платежів. Сучасне життя з його шаленим темпом вже важко уявити без цього платіжного інструменту.
З метою підвищення рівня комфорту банк постійно працюємо не лише над підвищенням якості обслуговування, а й над посиленням рівня безпеки:
Укрексімбанк посідає провідні позиції в Україні щодо емісії міжнародних платіжних карток Visa і MasterCard, виготовлених за технологією «магнітна смуга плюс чип». Такі картки дозволяють поєднати усі зручності вже звичних багатьом магнітних платіжних карток та максимальну безпеку завдяки використанню новітніх мікропроцесорних технологій;
також безпеку користування картками Укрексімбанку ми можемо гарантувати Вам завдяки цілодобовій системі он-лайн моніторингу карткових операцій, системі SMS-інформування клієнтів щодо спроб здійснення і здійснених операцій з картками, системам інтернет-банкінгу «Enter EXIM™» та мобільного банкінгу.
Прийнято вважати, що найменше захищені розрахунки у Всесвітній павутині від компрометації реквізитів картки, яка тягне за собою несанкціоновані списання з карткових рахунків клієнтів. Проте нерідко доводиться чути і про шахрайські операції, здійснені за допомогою банкоматів і навіть POS-терміналів.
Є певні прості правила, дотримуючись яких можна звести ризик бути обманутим до мінімуму.
При проведенні операцій через POS-термінали потрібно звернути увагу на правильність зазначених у чеку POS-терміналу, при необхідності поставити на чеку свій підпис. Якщо другий примірник чека не був роздрукований або був роздрукований не повністю - треба попросити касира роздрукувати його копію.
За словами фахівців, при проведенні платежу в кафе/ресторані варто уникати передачі карти співробітнику закладу для проведення платежу поза полем зору власника. Треба попросити принести термінал за столик, а за відсутності такої можливості - пройти до місцезнаходження POS-терміналу і бути присутнім при здійсненні платежу.
При здійсненні операції за допомогою банкоматів потрібно обов'язково простежити за тим, чи немає на банкоматі, особливо на картоприймачі, "зайвих деталей" - так званих накладок-скімерів.
Також необхідно впевнитись у відсутності накладки на ПІН-клавіатурі банкомату, за допомогою якої зловмисники можуть викрасти ПІН-код клієнта. Також ні в якому разі не повідомляйте ваш ПІН "доброзичливцям", які хотіли б допомогти вам при виникненні проблем з банкоматом. В цьому випадку краще зателефонувати в банк, телефон якого розміщений на банкоматі, або в банк-емітент картки.
Для розрахунків через Інтернет перш за все треба звернути увагу на відповідність сайту, за допомогою якого проводиться платіж, вимогам безпеки міжнародних платіжних систем. Використання відомих, перевірених сайтів підвищує безпеку розрахунків у Мережі.
CVV2 (Card Verification Value 2) – тризначний або чотиризначний код, залежно від платіжної системи, призначений для здійснення перевірки достовірності карти при безготівковому розрахунку і без участі платіжної карти. Код значення для ідентифікації ПК знаходиться на смузі для підпису утримувача після номера карти, або після останніх 4 цифр номера карти (рис. 3.2).
Рис. 3.2. Місце розташування CVV2 коду [91]
Використовується як захисний елемент при проведенні транзакції в середовищі Інтернет.
Якщо ви зібралися в Європу і плануєте не брати з собою готівку, то обзаведіться платіжною карткою з чіпом. Справа в тому, що з цього року зняти готівку в банкоматах країн Європейського союзу можна тільки з чіпових платіжних карт, оскільки картки з магнітною стрічкою погано захищають доступ до банківського рахунку.
Смарт-картка – це маленька пластикова картка з комп’ютерним чипом (рис. 3.3). Смарт-картки використовуються разом з особистими ідентифікаційними номерами (PIN) для входу до мережі, увімкнення комп’ютера або пристрою. Використання смарт-картки забезпечує вищий рівень безпеки, ніж використання пароля, оскільки важче вкрасти смарт-картку та дізнатися PIN-код, ніж пароль.
Рис. 3.3. Технологія смарт-картки [91]
На відміну від звичайних карток при оплаті чіпованим пластиком товарів у магазинах передбачається обов'язковий набір ПІН-коду. У той час як для здійснення платежів картами з магнітною стрічкою достатньо лише поставити підпис.
Проте, підвищення рівня безпеки розрахунків з використанням платіжних карток – це справа не лише банку, а й самого клієнта. Враховуючи популярність міжнародних платіжних карток та високий рівень захисту завдяки новітнім чип-технологіям, останнім часом зловмисники намагаються одержати конфіденційну інформацію безпосередньо від самого клієнта, скориставшись послугами SMS-інформування та e-mail-інформування.
Необхідно уважно ставитися до підозрілих повідомлень, що можуть надійти на Ваш мобільний телефон або поштову скриньку від третіх осіб нібито від імені банку. Звертаємо увагу, що банк відповідно до існуючих сервісів SMS-інформування та e-mail-інформування може надсилати повідомлення різного змісту, але ні в якому разі інформація не буде містити:
електронні адреси третіх осіб;
запит щодо введення номера платіжної картки, строку її дії, CVV2, PIN-коду;
запит щодо заміни логіну чи пароля в системі інтернет-банкінгу.
Наявність цілодобового контакт-центру та власний процесинговий центр обробки карткових операцій дозволяють оперативно вирішувати усі питання, які можуть виникнути при користуванні картками Visa і MasterCard від Укрексімбанку.
Активізація останнім часом фішинг-шахрайства з використанням міжнародних платіжних карток у мережі Інтернет, а саме: при здійсненні розрахунків карткою в Інтернеті (у разі зараження комп’ютера) вірусна програма підставляє Вам фальшиві віконця з логотипами міжнародних платіжних систем VISA та/або MasterCard для заповнення персональної інформації: номер картки, термін дії картки, код CVV, PIN-код, кодове слово.
Інформація про Ваш PIN-код та кодове слово є конфіденційною, та в жодному разі не потрібна для здійснення розрахунків через Інтернет, а отже, не повинна запитуватись третіми особами.
Щоб уникнути неприємностей, на персональному комп’ютері необхідно мати активовану антивірусну програму з щоденно оновлюваними антивірусними базами та потрібно встановити останню версію браузера, що підвищить безпеку роботи в Інтернеті.
Що одним з ефективних методів протидії шахрайському використанню Вашої платіжної картки є підключення до системи смс-інформування.
Останнім часом набули популярності розрахунки в Інтернет за допомогою електронних платіжних систем, зокрема «Яндекс. Деньги», «WebMoney Transfere». У більшості випадків ці компанії пропонують здійснити оплату товарів і послуг за допомогою власних електронних платіжних одиниць.
Звертаємо Вашу увагу, що умови випуску і правила користування зазначених платіжних систем не узгоджувалися з Національним банком України, що є обов’язковою умовою їх функціонування на території України відповідно до Закону України «Про платіжні системи та переказ коштів в Україні».
У зв’язку з неузгодженістю правил електронних платіжних систем з Національним банком України (лист НБУ від 24.06.2011 № 25-112/1575-7731) необхідно бути особливо уважними при користуванні послугами зазначених компаній.
17 грудня 2009 р. відбулося вручення АТ «Укрексімбанк» сертифіката PCI DSS Compliance, що підтверджує повну відповідність системи обробки платіжних карток банку вимогам стандарту безпеки міжнародних платіжних систем PCI DSS. АТ «Укрексімбанк», маючи власний процесинг, що обслуговує майже 20 банків-партнерів, став першим з найбільших банків України, який здійснив успішну сертифікацію на відповідність PCI DSS (рис. 3.4).
Рис. 3.4. Міжнародний сертифікат PCI DSS Compliance [91]
PCI DSS (Payment Card Industry Data Security Standard) спеціальний комплексний стандарт, який містить 12 розділів із вимогами до інформаційної та фізичної безпеки Банку. Він погоджений та впроваджений міжнародними платіжними системами Visa International, MasterCard Worldwide, American Express, JCB, Discover та Diner's Club з метою зниження ризиків витоку інформації про платіжні картки та її використання на шкоду власникам і емітентам, зменшення можливих збитків усіх учасників ринку.
Сертифікат відповідності було видано Укрексімбанку за результатами PCI DSS- аудиту, який здійснювався компанією SysNet (Ірландія) та був успішно завершений у вересні 2009 року. Сертифікація на відповідність стандарту стала можливою завдяки узгодженій роботі всіх задіяних підрозділів Укрексімбанку та співробітництву з компанією SysNet. Роботи, що мали на меті сертифікацію, розпочалися понад два роки тому та завершилися успішним сертифікаційним аудитом.
Укрексімбанк – перший системний банк України, який одержав сертифікат PCI DSS