Чтение онлайн

В случае, когда банк-эмитент не участвует в программах безопасности или не поддерживает протокол 3D-Secure, шаги 2b—5b не проводятся. Банк-эквайер указывает это в отдельном поле протокола авторизации платежной транзакции.

В настоящий момент сертификация, проводимая системой VISA для банков — эквайеров стала де-факто обязательной для получения эквайринговой лицензии в области электронной коммерции. MasterCard не требует обязательной сертификации банков — эквайеров, но они, как правило, для обеспечения безопасности системы в целом по своей воле проводят полную сертификацию. Сертификация банков-эмитен-тов в области электронной коммерции в настоящий момент обязательна только в случае использования компоненты ACS и протокола 3D-Secure.

Безопасность использования платежных сервисов это один из самых важных вопросов в области электронной коммерции. Прежде всего, необходимо понять какие риски могут быть применимы к каждому из участников в процессе использования электронного платежного сервиса. Вот, далеко не полный перечень рисков, которым подвергаются участники:

• риски клиента:

• неполучение услуги или получение услуги несоответствующей требованиям качества;

• дискредитация платежного средства клиента; риски продавца:

• отказ клиента от оказанной услуги;

• Риски эквайера:

• оказание авторизационных услуг «плохому» продавцу;

• оказание авторизационных услуг «плохому» клиенту;

• Риски эмитента:

• оказание услуг авторизации лицу, не имеющему права использования данного платежного средства;

• оказание услуг авторизации «плохому» клиенту;

«Плохой клиент» — это не только клиент, который отказался от услуги и требует возврата денег (как правило, такие инциденты решаются силами продавца или поставщика услуг). Данный термин, скорее, относится к мошенникам или, выражаясь юридически, — людям, целенаправленно использующим не принадлежащие им средства платежа (в общем случае неважно, что это за средство платежа — карта или любое другое средство доступа к счету). Проблема «плохого клиента», как известно, не нова, появление таких клиентов провоцируют два фактора: анонимность и относительная безнаказанность (далеко не всякого карточного мошенника имеет смысл ловить). Решение этой проблемы может лежать в создании четкой системы обеспечения безопасности электронной коммерции, которая должна включать в себя:

• правила оценки и ограничения возможности нелегитимного использования платежных средств (фрод-мониторинг и аутентификация);

• создание экономической базы защиты анонимных платежей.

Экономическая база защиты анонимных платежей предусматривает ограничение возможности клиента совершения платежа в анонимном режиме. Это означает, что клиент может совершить ограниченное число попыток такого платежа на небольшую сумму. Таким образом, использование анонимных платежей для кардеров становится просто невыгодным, а значит малоинтересным (именно поэтому большинство систем электронных платежей стремятся максимально ограничить возможности анонимных клиентов).

Фрод-мониторинг, безусловно, важная часть систем электронной коммерции. В основе систем фрод-мониторинга лежат два механизма: (1) статические фильтры и (2) анализ данных накопленных транзакций с целью поиска платежей с высоким риском фрода. Статические фильтры — это наиболее простой метод снижения риска платежных операций. Как правило, фильтры являются частью политики безопасности, согласованной торговой точкой и платежным сервисом. Анализ данных накопленных транзакций может выявить последовательность транзакций «плохого клиента», которая вызывает опасения (например, использование карт нескольких стран одновременно).

Аутентификация клиента обеспечивает легитимность использования платежного средства.

Классическим методом, используемым для аутентификации клиента, до сих пор является сочетание данных уникального имени, в качестве которого, как правило, используется номер карты и пароля, указываемого клиентом в момент регистрации в системе электронных платежей. К сожалению, данный метод не является достаточно безопасным для использования его в качестве универсального метода аутентификации в сервисах электронной коммерции в целом. В последнее время все более широкое развитие получают методы формирования уникального одноразового пароля, к таким методам относятся алгоритмы One Time Password (OTP). Методы OTP относятся к методам двух-факторной аутентификации. В основе данных методов лежит алгоритм формирования криптограммы на основе секретного ключа, который расположен на безопасном носителе (например смарт-карта) — 1 фактор, а также ПИН кода клиента, для доступа к данным носителя — 2 фактор, и последующего представления этой криптограммы в виде так называемого «токена» — набора десятичных либо символьных знаков (слов). Токен необходим для возможности быстрого и безошибочного ввода данных пароля в системах аутентификации.

В настоящий момент наибольший интерес при использовании карт международных платежных систем в качестве средства платежа, может представлять реализация OTP в виде отдельного приложения на карте. Для получения одноразового пароля достаточно воспользоваться картой, обладающей таким приложением и специального устройства в виде брелка, которое осуществляет проверку PIN-кода карты и отображение одноразового пароля на жидкокристаллическом экране (как правило, это 6–8 значные десятичные числа).

Платежные системы VISA и MasterCard обладают собственными реализациями такого приложения, построенного на базе стандарта Chip Authentication Program (CAP) MasterCard, для платежной системы Visa такое приложение носит название Dynamic Passcode Authentication (DPA). Данное приложение построено на базе стандарта EMV и может быть размещено на платежной карте совместно с основным платежным приложением, что дает возможность банку-эмитенту использовать карту и как платежное средство и как средство аутентификации клиента для доступа к сервисам, требующим строгой аутентификации. Таким образом, смарт-карта является действительно универсальным средством доступа к счету клиента. Изменение схемы взаимодействия клиента с ACS в платежных системах, использующих протокол 3D-Secure, показано на рис. 4.

4а — передача клиенту формы для аутентификации; 4b — ввод данных для формирования криптограммы (токена) (выполняется при помощи дополнительного устройства); 4с — ввод данных токена в форму аутентификации; 4d — передача данных токена серверу ACS и проверка данных криптограммы.

В заключение хочется отметить одну важную деталь. Использование сложных многофакторных систем аутентификации, безусловно, повышает безопасность систем электронной и мобильной коммерции, но не решает всех вопросов безопасности. Системы аутентификации не позволяют защищать пользователя и систему от атак типа: «man — in the — middle» (злоумышленник находится между пользователем и сервисом электронных платежей и может совершать действия от имени пользователя в рамках уже инициализированной сессии), для защиты в данном случае, необходимо использовать протоколы защиты канала SSL/TLS. Также необходимо защищать систему от атак с использованием программ — «Троянов», которые позволяют контролировать действия клиента непосредственно на его компьютере. Защитой в данном случае может служить использование альтернативного канала подтверждения операции (например, SMS уведомление с данными проведенной операции). В случае несанкционированных действий мошеннику сложно проследить действия пользователя по альтернативному каналу.

В настоящее время на всех уровнях власти проводится большая работа, связанная с реализацией Федерального закона от 22 августа 2004 г. № 122-ФЗ «О внесении изменений в законодательные акты Российской Федерации и признании утратившими силу некоторых законодательных актов Российской Федерации в связи с принятием федеральных законов «О внесении изменений и дополнений в Федеральный закон «Об общих принципах организации законодательных (представительных) и исполнительных органов государственной власти субъектов Российской Федерации» и «Об общих принципах организации местного самоуправления в Российской Федерации» [243] в части замены натуральных льгот денежными компенсациями и адресным предоставлением социального пакета.

Выявленные проблемы существующей системы социальной поддержки:

• недостаточная отлаженность процедур и механизмов межведомственного взаимодействия (социальная защита, здравоохранение, транспорт, жилищно-коммунальные услуги (далее — ЖКХ));

• дублирование функций учета льготополучателей как следствие бумажного документооборота;

• отсутствие механизма своевременного обновления, контроля и обмена данными по льготникам на межрегиональном, межмуници-пальном и межведомственном уровнях;

• отсутствие фактического учета предоставления мер социальной поддержки (далее — МСП) с точки зрения получения количественных и стоимостных характеристик, особенно, в части социального пакета;

• отсутствие гибкого механизма предоставления социального пакета: отсутствие быстроты и удобства процедуры подтверждения права на МСП, ограниченность предложений способов получения МСП.

На сегодняшний день «Социальная карта» — это комплекс организационно-технологических решений для построения гибкой автоматизированной системы осуществления эффективной социальной поддержки населения, который позволяет решать следующие задачи.