Безопасность платежей

Основные правила, которые стоит соблюдать покупателю
  • Никогда никому не сообщайте ваш пароль, включая сотрудников платежных систем.
  • Проверяйте, что соединение действительно происходит в защищенном режиме SSL — в правом нижнем углу вашего браузера должен быть виден значок закрытого замка;
  • Проверяйте, что соединение установлено именно с адресом платежной системы или интернет-банка;
  • Никогда не сохраняйте информацию о вашем пароле на любых носителях, в том числе и на компьютере. Если у вас возникли подозрения, что кто-либо получил доступ к вашему личному кабинету, смените пароль или заблокируйте ваш счет/аккаунт;
  • После окончания работы обязательно нажимайте кнопку Выход;
  • Убедитесь, что компьютер не поражен какими-либо вирусами.
  • Установите и активизируйте антивирусные программы.
  • Старайтесь их постоянно обновлять, так как действие вирусов может быть направлено на передачу третьим лицам информации о вашем пароле;
  • Используйте программное обеспечение из проверенных и надежных источников, выполняйте регулярные обновления.
Статистика

По статистике, чаще всего подвергаются атакам следующие системы: терминалы (32%), сервера баз данных (30%), серверы приложений (12%), веб-серверы (10%). На рабочие станции, серверы аутентификации, серверы резервного копирования, файловые хранилища и прочее приходится только 10%. Из данной статистики наглядно видна актуальность безопасности именно сайтов и приложений, так как через их уязвимости чаще всего становится возможным получение доступа к данным.

Что обеспечивает безопасность платежных систем
Безопасные/зашифрованные интернет-соединения
  • В настоящее время наличие SSL сертификата на сайте не является достаточным условием для безопасного проведения интернет-платежей. Только комплексный подход, сертифицированный по современным международным стандартам, позволяет говорить о том, что безопасность обработки интернет-платежей обеспечивается на самом высоком уровне.
Клиентская защита
  • Логин/пароль доступа для входа в систему, который проходит тестирование на сложность;
  • Комбинация номера банковской карты, срока действия, имени держателя карты, CVV/CVC кодов;
  • Возможность создания виртуальной карты, дублирующей основную, для проведения интернет-платежей;
Техническая защита
  • Привязка платежного сервиса к фиксированному IP-адресу и телефонному номеру клиента;
  • Осуществление клиентского доступа в систему по зашифрованному протоколу HTTPS/SSL;
  • Возможность использования виртуальной клавиатуры для набора данных идентификации (противодействие перехвату личных данных);
  • Разделение каналов формирования транзакций и канала авторизации транзакций:
  • авторизация транзакций осуществляется через специальный код, который при совершении платежа клиент получает от системы на свой мобильный телефон по SMS (случайная комбинация букв и цифр, действующая только в течение нескольких минут).
  • Защита пластиковых карт
  • Злоумышленники чаще всего пытаются получить доступ к карточным данным. В отчетах исследований специалистов в области платежной безопасности — компаний Verizon и Trustwave указывается статистика: в 85-ти и 98-ми случаев из 100 соответственно, целью атаки были именно карточные данные.
Сертификация платежных систем

Сертификация сервис-провайдеров и владельцев бизнеса (мерчантов) с количеством транзакций более 6 млн. в год подлежит сертификации Qualified Security Assessor (QSA), которые в России выдаются компаниями IBM, NVision Group, Deiteriy, Digital Security, TrustWave, ЕВРААС ИТ, Информзащита, Инфосистемы Джет, Крок Инкорпорейтед.

  • Сертификат соответствия стандарту Payment Card Industry Data Security Standard (PCI DSS);
  • Сертификат безопасности на соответствие международным требованиям к менеджменту информационной безопасности в сфере разработки, внедрения и сопровождения программных средств ISO/IEC 27001:2005;
  • Использование электронно-цифровой подписи (ЭЦП);
  • Лицензии на право осуществления деятельности по предоставлению, техническому обслуживанию, распространению шифровальных (криптографических) средств.

Начиная с 1 июля 2012 года использование несертифицированных приложений компаниями, попадающими под действие стандарта PCI DSS, будет запрещено.

PCI DSS стандарт защиты информации в индустрии платёжных карт был разработан международными платёжными системами Visa и MasterCard и представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций. Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информационной безопасности данных платёжных карт.

Уязвимые места и способы защиты
С точки зрения информационной безопасности в системах электронных платежей существуют следующие уязвимые места:
  • Пересылка платежных и других сообщений между банком и клиентом и между банками;
  • Обработка информации внутри организаций отправителя и получателя сообщений;
  • Доступ клиентов к средствам, аккумулированным на счетах.
  • Одним из наиболее уязвимых мест в системе электронных платежей является пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентом.
Защита при пересылке платежных сообщений:
  • Внутренние системы организаций отправителя и получателя должны быть приспособлены для отправки и получения электронных документов и обеспечивать необходимую защиту при их обработке внутри организации (защита оконечных систем);
  • Взаимодействие отправителя и получателя электронного документа осуществляется опосредовано – через канал связи.
Проблемы, решаемые при организации защиты платежей:
  • взаимное опознавание абонентов (проблема установления взаимной подлинности при установлении соединения);
  • защита электронных документов, передаваемых по каналам связи (проблемы обеспечения конфиденциальности и целостности документов);
  • защита процесса обмена электронными документами (проблема доказательства отправления и доставки документа);
  • обеспечение исполнения документа (проблема взаимного недоверия между отправителем и получателем из-за их принадлежности к разным организациям и взаимной независимости).
Обеспечение безопасности платежных систем

Для обеспечения функций защиты информации на отдельных узлах системы электронных платежей должны быть реализованы следующие механизмы защиты:

  • управление доступом на оконечных системах;
  • контроль целостности сообщения;
  • обеспечение конфиденциальности сообщения;
  • взаимная аутентификация абонентов;
  • невозможность отказа от авторства сообщения;
  • гарантии доставки сообщения;
  • невозможность отказа от принятия мер по сообщению;
  • регистрация последовательности сообщений;
  • контроль целостности последовательности сообщений.

Качество решения указанных выше проблем в значительной мере определяется рациональным выбором криптографических средств при реализации механизмов защиты.

Платежная система — это система взаимодействия участников

С организационной точки зрения ядром платежной системы является ассоциация банков, объединенная договорными обязательствами. Кроме того, в состав электронной платежной системы входят предприятия торговли и сервиса, образующие сеть точек обслуживания. Для успешного функционирования платежной системы необходимы и специализированные организации, осуществляющие техническую поддержку обслуживания карт: процессинговые и коммуникационные центры, центры технического обслуживания и т.п.

Заказать консультацию
Яндекс.Метрика