В данном разделе были рассмотрены основные аспекты обеспечения безопасности в сфере процессинговых центров. Разумеется, все перечисленное в данной главе является только обобщением накопленного мировым сообществом опытом создания и эксплуатации процессинговых центров. Необходимо понимать, что каждый ПЦ, как и любое другое предприятие, имеет свои особенности и тонкости и, естественно, что задачи по обеспечению безопасности в том или ином предприятии имеют характерную специфику. Любому ПЦ присуща работа с персональными данными владельцев пластиковых карт, а это означает, что репутация и надежность процессингового центра целиком и полностью зависят от степени безопасности составляющих его систем. Вот поэтому так важно уделять максимум внимания для решения вопросов, связанных с обеспечением не только отказоустойчивости систем при работе в режиме 24 × 7, но и степени защиты доверяемых процессинговому центру данных.
Приложения
Приложение 1
Судебно-следственная практика
Уголовное дело № 7013396 от 11 октября 2007 г., Астрахань. Эквайринг ТСПВ 2007 г. в торговых предприятиях г. Астрахани российские банки-эквайреры зафиксировали резкий рост количества незаконных операций по поддельным картам иностранных банков-эмитентов. В августе месяце при попытке расплатиться поддельной картой была задержана молодая женщина, участница преступной группы. Однако уголовное дело возбуждено не было. И только 11 октября 2007 г. по заявлению представителя одной из крупнейших в России процессинговых компаний было возбуждено уголовное дело № 7013396. В результате его расследования в качестве потерпевших были признаны четыре российских банка-эквайрера, выявлена группа лиц, осуществлявшая незаконную деятельность, состоящая из семи человек, которым были предъявлены обвинения.
ЗАЯВЛЕНИЕ О ПРЕСТУПЛЕНИИ одного из банков-эквайреров:
(Извлечения)Начальнику УСТМ УВД
по Астраханской области
Сообщаю Вам, что в период с 20 марта 2007 г. по 18 июля 2007 г. в магазине «Столица компьютерная», расположенном по адресу: г. Астрахань, ул. Минусинская, д. 8 (торговый терминал 701386), обслуживаемом «Г…банк» (открытое акционерное общество) (далее — Банк) на основании договора об эквайринговом обслуживании №… от 21 декабря 2004 г. между Банком и ПБОЮЛ ч. А. А., которому принадлежит магазин, неустановленными лицами совершено изготовление поддельных платежных документов, сбыт этих документов и хищение денежных средств при осуществлении операций оплаты в магазине с использованием поддельных кредитных и расчетных карт.
20 марта 2007 г. с использованием расчетной карты платежной системы VISA № 4567350002160626 были осуществлены две операции покупки: 19 050 руб. и 5470 руб. Банк-эмитент Alliance & Leicester PLC (Великобритания) занес данные операции в отчет системы отслеживания подозрительной деятельности торговых предприятий VISA Int. (FRS) как мошеннические (Приложение 4).
11 июля 2007 г. с использованием расчетной карты платежной системы MasterCard № 5416034087903445 были осуществлены пять операций покупки: 23 133 руб., 4200 руб., 32 000 руб., 35 000 руб. и 43 656 руб. Банк-эмитент GE CAPITAL BANK LIMITED (Великобритания) занес данные операции в отчет о мошеннических операциях, совершенных в торговых предприятиях, MasterCard Worldwide (SAFE) как мошеннические (Приложение 5).
18 июля 2007 г. с использованием расчетной карты платежной системы MasterCard № 5420113828910200 были осуществлены три операции покупки: 15120 руб., 15120 руб. и 6460 руб. Банк-эмитент HSBC BANK PLC (Великобритания) занес данные операции в отчет о мошеннических операциях, совершенных в торговых предприятиях, MasterCard Worldwide (SAFE) как мошеннические (Приложение 5).
Положение ЦБ РФ № 266-П регламентирует, что при совершении операций с платежными картами составляются документы на бумажном носителе и (или) в электронной форме, данные документы являются основанием для осуществления расчетов. А именно при осуществлении операций с использованием платежных карт формируются документы, являющиеся распоряжением клиента об осуществлении операций по его банковскому счету.
В приложении 20 Положения ЦБ РФ № 2-П описание поля 39 платежного ордера дано как «Шифр платежного документа» (проставляется условное цифровое обозначение (шифр) оплачиваемого расчетного документа согласно правилам ведения бухгалтерского учета в Банке России или правилам ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации). А в Положении ЦБ РФ № 205-П один из кодов данного шифра обозначен как «13 — Расчеты с применением банковских карт».
Таким образом, при расчетах с применением банковских карт формируются платежные документы. В Письме МНС России от 28 февраля 2002 г. № 03-2-06/543/24-з951 сказано, что данные платежные документы формируются в электронном виде в торговом предприятии покупателем и направляются в процессинговый центр (подразделение, осуществляющее сбор, обработку и рассылку участникам расчетов — кредитным организациям информацию по операциям с платежными картами).
Согласно п. 3.3 Положения ЦБ РФ № 266-П платежные документы должны содержать следующие обязательные реквизиты:
• идентификатор банкомата, электронного терминала или другого технического средства, предназначенного для совершения операций с использованием платежных карт;
• вид операции;
• дату совершения операции;
• сумму операции;
• валюту операции;
• сумму комиссии (если имеет место);
• код авторизации (если осуществлялась процедура авторизации);
• реквизиты платежной карты.
Документ по операциям с использованием платежной карты на бумажном носителе дополнительно должен содержать подпись держателя платежной карты.
Таким образом, платежный документ по операциям покупки в торговом предприятии с платежными картами составляется на бумажном носителе: чек торгового ПОС-терминала (или слип-импринтера) и/или в электронном виде и содержит обязательные реквизиты, указанные в Положении ЦБ РФ № 266-П.
Поддельным платежным документом может быть подлинный платежный документ, в который были внесены несанкционированные изменения, либо полностью изготовленный платежный документ, в том числе формально подлинный, от лица держателя карты, который не санкционировал или не инициировал изготовление данного документа. То есть подделать документ можно не только технически (техническая подделка), но и интеллектуально — например, когда документ составляется неверным числом, от имени другого лица, когда в документе фиксируется событие, которого не было, и др.