7. Использовать ограничение доступа сотрудников торгового предприятия только к функциям и информации, необходимым им по роду деятельности.
8. Каждый пользователь системы процессинга магазина должен иметь уникальный идентификатор, используемый для его аутентификации внутри системы. Уникальность идентификатора позволяет не только обеспечить разграничение доступа в системе, но и позволяет отслеживать действия всех сотрудников в информационной системе магазина.
9. Физический доступ сотрудников магазина к серверам, хранящим базы данных карт, должен быть ограничен. Это позволяет избежать возможности записи информации на внешние носители, замены и кражи оборудования, хранящего чувствительную информацию. Физический доступ должен быть ограничен и к телекоммуникационным ресурсам, через которые возможен доступ к серверам (в частности, к точкам доступа беспроводной связи).
10. Необходимо выполнять мониторинг доступа к Базам данных карт, используя механизмы логирования активности пользователей системы, связанной с доступом в систему, попытками аутентификации и т. п.
11. Необходимо регулярно проводить аудит и тестирование систем безопасности магазина.
12. Необходимо поддерживать политику безопасности внутри компании, четко определяющую для каждого сотрудника онлайнового магазина требования, предъявляемые к нему с точки зрения поддержания безопасности системы магазина в целом.
В зависимости от потенциальной угрозы доступа к хранящейся в информационных системах магазинов и третьесторонних процессоров информации по картам платежные системы делят магазины и процессоры по нескольким уровням и определяют следующие типы мероприятий, регулярно проводимых для оценки уровня соответствия магазина стандарту PCI DSS:
• аудит безопасности, проводимый непосредственно в торговом предприятии;
• самооценка системы безопасности магазина (процессора) по вопроснику, предлагаемому платежной системой;
• сетевое сканирование доступа к карточным данным.
Как уже отмечалось ранее, к сожалению, далеко не все торговые предприятия удовлетворяют требованиям PCI DSS. Многие торговые предприятия ссылаются на высокую стоимость модернизации используемых ими сегодня аппаратно-программных средств обработки карточных операций. В середине 2007 г. Visa объявила о запуске новой динамической системы авторизации Visa Advanced Authorization, на которую возлагаются большие надежды по борьбе с фродом. Система Visa использует разработанное на основе нейронных сетей решение, позволяющее в режиме реального времени оценить каждую операцию по карточке Visa с точки зрения потенциального мошенничества. В результате каждый эмитент будет получать в рамках авторизации оценку того, что авторизация является мошеннической.
В заключение следует сказать, что проблема карточного фрода является актуальной и угрожает существованию технологии пластиковых карт. Возможности карт с магнитной полосой в противодействии мошенничеству весьма ограничены. Карта с магнитной полосой является лишь носителем небольшого объема информации. Поэтому оказать противодействие мошенничеству могут только эмитент и обслуживающий банк, не имеющие своих полноценных представителей в точке продажи. Даже в предположении онлайнового характера всех карточных операций возможности эмитента и обслуживающего банка весьма ограничены. Эмитент в большинстве случаев может только проверить правильность статических данных карты, полученных при выполнении операции безналичной покупки, да проанализировать, насколько эта операция характерна для данного клиента с помощью программы мониторинга транзакций. Обслуживающий банк представлен кассиром торгового предприятия, далеко не всегда следующим при приеме карт инструкциям банка.
Микропроцессорные карты, речь о которых пойдет далее, коренным образом способны повысить уровень карточной безопасности.
Анализ реальной безопасности операций по микропроцессорным картамСвойства микропроцессорной карты, позволяющие повысить безопасность операций
Важнейшим свойством микропроцессорной карты (МПК) является поддержка операционной системой карты криптографических функций. Использование этих функций приложением карты позволяет существенным образом повысить безопасность платежных операций.
Ниже перечислены задачи, решаемые приложением МПК для повышения безопасности операций по пластиковым картам.
1. Важнейшая базовая задача, решаемая приложением карты с помощью криптографических методов, состоит в обеспечении надежной аутентификации приложения карты (чаще говорят, и мы будем поддерживать эту терминологию, аутентификации карты, хотя правильнее говорить об аутентификации приложения). Под аутентификацией карты в данном случае понимается процесс доказательства того факта, что данная карта (приложение) была эмитирована банком, авторизованным на это соответствующей платежной системой. Успешность аутентификации карты означает, что был доказан факт эмиссии рассматриваемой карты банком X, являющимся участником платежной системы Y, которая разрешила банку X эмиссию карт платежной системы Y. Надежность доказательства факта эмиссии конкретной карты авторизованным эмитентом зависит от метода аутентификации карты.
Кратко напомним общие сведения о методах аутентификации карты. Методы аутентификации карты делятся на оффлайновые и онлайновые. Последняя версия стандарта EMV (v. 4.1) различает три метода оффлайновой аутентификации карты:
• SDA (Static Data Authentication)
• DDA (Dynamic Data Authentication)
• CDA (Combined Dynamic Data Authentication/AC Generation).
Первый в списке способ аутентификации относится к классу статических методов аутентификации, в то время как два последних, — к динамическим методам аутентификации.
Метод SDA обеспечивает целостность критичных для приложения карты данных, а также невозможность создания карты с «белого листа». По своей сути метод является аналогом CVV/CVC для микропроцессорной карты.
Методы динамической аутентификация карты состоят в проверке терминалом подписанных картой данных, формируемых терминалом (с обязательным использованием случайного числа, сгенерированного терминалом). Аутентификация карты в этом случае гарантирует на уровне криптостойкости алгоритма RSA факт того, что карта содержит чип, персонализированный эмитентом, авторизованным платежной системой на выпуск карт. Для реализации динамических методов аутентификации карты требуется поддержка микросхемой карты алгоритма RSA.
Метод CDA помимо динамической аутентификации карты дополнительно обеспечивает целостность наиболее критичных данных информационного обмена в диалоге «карта-терминал» (CID и реквизитов транзакции). Это достигается совмещением процедуры аутентификации карты с выполнением команды Generate AC, в ходе которой между картой и терминалом осуществляется обмен наиболее важными данными.
Методы динамической аутентификации автоматически включают в себя статическую аутентификацию, которая выполняется в рамках процедуры верификации сертификата открытого ключа карты.
Из сказанного выше следует, что с точки зрения обеспечения безопасности карточной операции самым надежным методом оффлайновой аутентификации является CDA. Далее идут методы DDA и SDA. При этом, метод SDA даже не защищает микропоцессорную карту (далее — МПК) от ее клонирования для использования в оффлайновых операциях.
Выбор метода оффлайновой аутентификации производится терминалом на основе данных AIP и возможностей терминала, определяемых значением третьего байта объекта данных Terminal Capabilities (Tag ‘9F33’).
В соответствии с правилами платежных систем все карты (за исключением так называемых «ATM only»-карт) должны поддерживать метод SDA, терминалы — SDA и DDA (за исключением «Online only»-терминалов). Кроме того, общая тенденция такова, что терминалы и карты начинают движение в сторону поддержки CDA и DDA соответственно. Весьма вероятно, что в следующем десятилетии для всех терминалов и карт с оффлайновым режимом работы (offline capable), поддержка CDA станет обязательной. Пока планы системы MasterCard состоят в том, чтобы уже с января 2011 г. сделать обязательной поддержку метода CDA для всех новых offline capable терминалов и метода DDA — для всех новых offline capable карт.
Поскольку аутентификация карты является важным элементом принятия эмитентом решения по результату авторизации транзакции, эмитент должен иметь возможность проверки факта выполнения терминалом аутентификации карты. Это требуется для того, чтобы избежать обмана со стороны недобросовестного торгового предприятия или обслуживающего банка, утверждающих, что аутентификация карты была выполнена, хотя это действительности не соответствует. Причиной для обмана может быть экономия средств торгового предприятия или обслуживающего банка на поддержку функции аутентификации карты на POS-терминале. Механизм проверки факта выполнения терминалом аутентификации карты в стандарте EMV существует (Data Authentication Code для случая статической аутентификации и ICC Dynamic Number для случая динамической аутентификации карты).