ЖАНРЫ

Безопасность карточного бизнеса : бизнес-энциклопедия

Доронин А. М.

Шрифт:

Пусть событие A состоит в том, что данные карты скомпрометированы в результате операции k в любом терминальном устройстве, а событие B — данные скомпрометированы в r– й операции в любом терминальном устройстве, причем k < r. Будем считать события A и B независимыми, т. е.

Вероятность того, что данные карты не были скомпрометированы ни в одной операции, можно записать в следующем виде с учетом формулы (14):

Исходя из формулы (15) вероятность компрометации данных карты хотя бы в одной операции:

Таким образом, для расчета вероятности компрометации данных карты требуется рассчитать значения вероятности компрометации данных карты в каждом использованном терминальном устройстве, что может быть сделано с использованием данных в БДО и БДМ, хранящихся в табл. 3.1, 3.3, 3.6. Расчет может производиться:

• по каждому уникальному терминалу;

• по категории торгового предприятия (merchant category code — MCC): различные коды ТСП, банкоматы, ПВН;

• по стране торгового предприятия;

• по категории и стране торгового предприятия;

• по категории, стране и городу торгового предприятия.

Далее будем вести расчеты по стране и категории торгового предприятия.

Например, для расчета вероятности компрометации данных магнитной полосы карты i в некоторой стране за год в торговом предприятии определенной категории подсчитываем число операций, удовлетворяющих данному условию, в результате которых данные оказались скомпрометированы, и общее число операций, а далее с учетом формулы (16) получаем:

где Wкпр(стрс, mccm)(i) — число операций, связанных с компрометацией данных, по картам банка в стране стрс и категории торгового предприятия mccm за год;

Wтрз (стрс, mccm)(i) — общее число операций по картам банка в стране стр c и категории торгового предприятия mccm за год.

Введем следующие обозначения:

Обозначим вероятность компрометации данных карты с учетом введенных обозначений и формулы (17) следующим образом:

В случае компрометации данных карты они могут быть использованы для совершения мошеннической операции. На основе данных БДМ можно рассчитать условные вероятности использования скомпрометированных в хотя бы одной точке использования карты ее данных:

где Wисп (стр, mcc)(i) — число фактов последующего использования скомпрометированных данных в точках использования карты i (страна и категория ТСП);

Wкпр(стр, mcc)(i) — число компрометаций данных карт в точках (страна и категория ТСП), в которых использовалась карта i.

Попытка проведения мошеннической операции может быть пресечена в торговом предприятии, до попадания авторизационного запроса по карте эмитенту. Рассмотрим возможности пресечения проведения мошеннической операции в зависимости от ее типа:

• операция по поддельной карте с известным ПИН-кодом в банкомате — в соответствии с формулой (8) вероятность успеха не зависит от способности выявления подделки банкоматом (за исключением упомянутого случая подделки магнитной полосы комбинированной карты и попытки ее использования в банкомате, поддерживающем проведение операций по микропроцессорным картам);

• операция по поддельной карте в ТСП — согласно формуле (4) вероятность мошенничества зависит от возможности обнаружения подделки кассиром;

• операция без присутствия карты — исходя из формулы (11) вероятность успеха мошенничества зависит от применяемой ТСП схемы безналичных платежей.

Проведенный анализ показывает, что в большинстве случаев мошенничества, связанного с подделкой карт крупнейших МПС VISA и MasterCard, можно избежать, если кассир выполняет следующие визуальные проверки карты:

• на наличие четырех напечатанных цифр под эмбоссированным номером карты;

• на наличие микропечати VISA по периметру логотипа карты VISA;

• на наличие голубя на картах VISA и букв «М» и «С» на картах MasterCard, появляющихся при облучении карты ультрафиолетом;

• при наклоне карты VISA на голограмме должен появиться летящий голубь, а MasterCard — надпись «MasterCard»;

• сравнение номера карты на чеке терминала и на карте;

• на наличие эмбоссированных секретных символов на карте (летящие буквы «V» и «M»).

Современная практика функционирования ПС показывает, что часто описанные проверки в ТСП не производятся, поэтому МПС отказались от использования эмбоссированных секретных символов, а также некоторых видов микропечати.

С учетом изложенных доводов вероятность проведения мошеннической операции по поддельной карте в ТСП с учетом формулы (4) можно, положив Pпод. крт (поп|кпр исп) = 1, рассчитывать по следующей формуле:

Следовательно, риск по поддельным картам в ТСП с учетом формулы (20):

Рассмотрим проведение мошеннических операций без присутствия карты. Если эквайрер блокирует проведение операций, например, из определенной доменной зоны, то такие попытки эмитенту видны не будут. Так, до недавнего времени сервисы PayPal были недоступны для россиян, фильтрация запросов происходила на основе анализа IP адреса клиента, но с конца 2006 г. ситуация изменилась. Если же клиент попадает на электронную страницу магазина, содержащего логотипы МПС, реквизиты его карты должны быть приняты к оплате по правилам МПС.

В случае принятия реквизитов к оплате банк-эквайрер должен обслужить операцию, за исключением случая неподдержки эмитентом схемы 3D Secure при одновременной ее поддержке эквайрером. Эквайрер, применяющий 3D Secure, в принципе может принимать к оплате не только карты эмитентов, поддерживающих данную технологию, но и любые другие. В любом случае оказывается, что если эмитент получает авторизационный запрос по операции без присутствия карты, то самостоятельно принимает решение об одобрении или отклонении ее (с учетом значения индикатора электронной транзакции в запросе авторизации — Electronic Commerce Indicator).

Поделиться с друзьями: