Безопасность платежных карт — два пути
Безопасность платежных карт — два пути
Очевидно, что данные факты свидетельствуют о существенных уязвимостях применяемых в настоящее время платежных технологий, раз такие массовые атаки и случаи компрометации данных становятся возможны из года в год. Принципиальных решений в этой связи может быть два:
1) замена уязвимых технологий более безопасными;
2) сохранение существующих уязвимых технологий и защита их дополнительными методами и системами.
Первый путь связан с миграцией на микропроцессорные карты стандарта EMV для предотвращения несанкционированного копирования (скимминга) магнитной полосы карты (защита от Counterfeit Fraud — 34 % всех потерь в мире за 2009 г.) и посредством внедрения более надежных систем аутентификации держателя карты при проведении операций без присутствия карты (противодействие Card Not Present Fraud — 41 % всех потерь в мире за 2009 г.), причем в последнем случае в ряде решений также может использоваться EMV-карта. Повсеместного перехода на микропроцессорные карты до сих пор не произошло, и хотя уже более 60 стран мира начали процесс миграции, США являются пока единственной страной G20 («Большая двадцатка» наиболее экономически развитых стран мира), официально даже не начавшей его.
К настоящему моменту отказ от использования микропроцессорных карт стоит США весьма дорого — так, потери от мошенничества с платежным картами в 2009 г. составили 6,89 млрд долл. США и к 2015 г. могут достигнуть 10 млрд долл. США. По некоторым оценкам стоимость принятия мер по каждому факту компрометации данных платежной карты в США составляет 202 долл. США, так что только в 2008 г. на устранение последствий атак был потрачен 1 трлн долл. США. По оценкам экспертов стоимость миграции на EMV для США составляет 8,6 млрд долл. США, т. е. вполне сопоставима с ежегодными потерями от мошенничества в 6,89 млрд долл. США! Тем не менее США, а вместе с ними и весь остальной мир по требованиям международных платежных систем пошли по второму пути.
Второй путь состоит, как мы уже определили выше, в защите существующих уязвимых технологий (прежде всего — платежных карт с магнитной полосой). Для разработки повышенных требований к обеспечению безопасности данных платежных карт в 2006 г. был создан специальный Совет стандартов безопасности индустрии платежных карт (Payment Card Industry Security Standards Council), в который вошли American Express, Discover Financial Services, JCB, MasterCard Worldwide, VISA International. Стандарт Payment Card Industry Data Security Standard (PCI DSS, в настоящий момент версия 2.0, далее — Стандарт) определяет требования безопасности для защиты информации, относящейся к платежной карте, и должен использоваться тогда, когда номер карты хранится, обрабатывается или передается.
Приведенные в Стандарте требования[77] призваны обеспечить безопасность данных платежных карт за счет повышения защищенности автоматизированных систем, в которых эти данные обрабатываются. Соответствие требованиям Стандарта должно означать, что система защищена и компрометация данных в ней произойти не может. Однако вышеназванные компании, в которых были скомпрометированы данные, — Card Systems Solutions, RBS WorldPay, Heartland Payment Systems, — до этого проходили аудит и получили статус соответствия Стандарту. Примечательно, что компании RBS WorldPay и Heartland Payment Systems в марте 2009 г. были исключены VISA из списка соответствующих стандарту, но сразу же заявили, что надеются вновь пройти сертификацию уже в апреле и мае 2009 г. соответственно, и достигли этого соответствия.