Страница 4 из 13
Так продолжалось до 1970 года, до тех пор, пока Конгресс США не издал закон, запрещающий рассылать по почте карты без предварительного разрешения держателя. Статистика отмечает, что в этот период большинство случаев мошенничества сводились к кражам карт из кошельков и карманов.
В 1970 году был издан закон «Title 15 U. S. Code § 1644 – Fraudulent use of credit cards» («О мошенническом использовании кредитных карт»), регулировавший предъявление обвинений в использовании поддельных, переделанных, утерянных, украденных или полученных обманным путем кредитных карт. Однако и эта мера не уменьшила числа мошеннических операций с картами.
Наконец, в 1974 году Конгресс принял «Fair Credit Billing Act» (закон «О добросовестном предоставлении кредитной информации», или «О точной отчетности по кредитам»), который впервые узаконил следующие нюансы:
• 60-дневный срок, в течение которого держатель карты может оспорить ошибку в своей платежной выписке.
• Если держатель карты обнаруживает ошибку, то должен в письменной форме отправить своему эмитенту запрос на опротестование.
• Держатель карты не несет ответственности при использовании потерянной, украденной карты или при использовании карты без разрешения владельца. При этом достаточно просто позвонить в банк и проинформировать об инциденте. Несмотря на то, что закон установил минимальный размер транзакции в 50$ при использовании карты (Face-to-Face, то есть личное присутствие ее держателя), Visa и MasterCard это ограничение не используют. А при использовании карты мошенником в онлайне или по телефону держатель карты полностью освобождается от ответственности.
«Fair Credit Billing Act» считается прародителем chargeback’а[2]. Впоследствии закон трансформировался в правила МПС, а правила обросли многочисленными поправками. Сам же законодатель поступил достаточно мудро, постановив: если банки создали МПС и зарабатывают на каждой транзакции и на кредитовании, то и за несовершенства в их системе должны отвечать сами.
На сайте американской Visa вы можете встретить Visa Zero Liability (принцип «нулевой ответственности»), который гласит: «Вы не несете ответственность за неавторизованное использование Вашей карты. Вы защищены, если Ваша карта потеряна, украдена или используется мошенниками».
В России массовая эмиссия банковских карт началась в 1990-х годах. Забот у банков было предостаточно и без пластиковых карт: кредитные организации занимались торговлей ценными бумагами, затем грянул банковский кризис. Продвижением карт как «безопасного способа оплаты» по этим причинам никто всерьез не занимался.
27 июня 2011 г. вступил в силу закон № 161-ФЗ «О национальной платежной системе», который в 11 пункте статьи 9 «Порядок использования электронных средств платежа» дал клиенту один день на уведомление банка-эмитента о мошеннической операции.
В своей книге «One from Many: VISA and the Rise of Chaordic Organization» (в рус. переводе – «Философия твоей кредитки. История Visa») ее автор Ди Хок сожалеет, что так и не смог приравнять держателей карт к участникам организации Visa и поставить наравне с банками.
4. Правила платежных систем
Проведем краткое сравнение выполнения правил платежных систем в России и за рубежом.
Patriotic Act («Патриотический акт») США (а точнее, его составляющая International Money Laundering Abatement and Financial Anti-Terrorism Act, «О борьбе с отмыванием денежных средств и финансированием терроризма») существенно изменил мировую финансовую систему, что наложило свой отпечаток на правила платежных систем Visa и MasterCard.
В частности, банк-эквайер должен идентифицировать каждую торговую точку и ее бенефициарных владельцев (процедура носит название KYC – Know Your Customer, «знай своего клиента»).
MasterCard вводит понятие «отмывание транзакций» (Transaction Laundering): те ситуации, в которых одна торговая точка принимает денежные средства в пользу другой. Так, за одним, с виду вполне легальным, сайтом могут быть спрятаны десятки других, торгующих, к примеру, контрафактными лекарственными препаратами.
Обе платежные системы запрещают такое агрегирование в чистом виде и вводят понятие Payment Faciliator (дословно с англ. «упрощение, облегчение платежей») для упрощения работы с небольшими и средними магазинами. Именно Payment Faciliator, по правилам, имеет возможность принимать платежи от имени своих торговых точек. При этом он берет на себя большую часть работы по идентификации и расчетам со своими клиентами, а также несет все риски за них.
Обе платежные системы также пользуются правилом «расположения торговой точки» (Merchant Location), согласно которому эквайер (так же, как и Payment Faciliator) может заключать соглашение на прием денежных средств с компаниями в юрисдикциях, в которых они имеют лицензию (обычно – в стране, где располагается эквайер).
В России все банки-эквайеры имеют лицензию на подключение торговых точек только из России. В Евросоюзе зачастую один и тот же эквайер может обсуживать торговые точки из других стран-участниц ЕС.
5. Техническое взаимодействие и транзакционная безопасность
5.1. История появления стандарта PCI DSS
С 1988 по 1998 год Visa и MasterCard отчитались о потерях в 750 млн долларов из-за мошеннических операций с картами – эта сумма оказалась мизерной по сравнению с сотнями миллиардов долларов, обрабатываемых компаниями ежегодно. Но все кардинально поменялось с началом эры интернета. Чем больше магазинов подключали свои интернет-сайты к системам приема платежей, тем легче становилось мошенникам получать платежные данные с плохо защищенных систем, манипулируя картами быстрее и проще прежнего.
В октябре 1999 года Visa запустила Cardholder Information Security Program (CISP), систему информационной безопасности для держателей карт. Visa стала первой компанией, разработавшей единый стандарт для торговых точек, принимающих онлайн-транзакции. CISP – первый из числа родоначальников стандарта PCI DSS.
Наступил 2000-й год. По данным CyberSource, потери на онлайн-продажах от карточного мошенничества достигли 1,5 млрд долларов (иными словами, всего за одно десятилетие они утроились). В 2001 году, по данным Visa, уровень мошенничества в онлайне был в 4 раза выше, чем по обычным транзакциям.
Май 2001 года ознаменовался новым событием: Visa и другие карточные бренды приступили к борьбе за исполнение политики безопасности. Выяснилось, что всего лишь несколько компаний в состоянии соответствовать Visa CISP, принятому 1 мая 2001 года. Схожие с этой программой стандарты безопасности оказались менее успешными, в основном из-за отсутствия единого, унифицированного стандарта среди карточных брендов.
В июле 2004 года атаки на веб-инфраструктуру стали угрожающими. В частности, значительным образом распространились атаки против IIS[3] и другого уязвимого программного обеспечения. Злоумышленники находили уязвимые компьютеры и внедряли на них вредоносное программное обеспечение (кейлоггеры[4] и трояны), используя его для кражи платежных данных. В результате 15 декабря 2004 года появился Payment Card Industry Data Security Standard (PCI DSS), стандарт безопасности данных в индустрии платежных карт. Этот день в истории информационной безопасности считается знаменательным – был принят первый унифицированный стандарт безопасности, поддерживаемый пятью крупнейшими карточными брендами. Соответствие стандарту стало обязательным для торговых точек и других организаций, участвующих в цикле обработки платежей.
В июне 2005 года было решено, что отныне все торговые точки, обрабатывающие более 20 тысяч транзакций по картам в год, должны соответствовать стандарту PCI DSS. Но несмотря на то, что неуклонно растущее число торговых точек выделяло все больше IT-ресурсов на приведение в соответствие стандарту, многие из них не успевали сделать это в срок.
2
Chargeback («возвращенный платеж») – процедура опротестования транзакции банком-эмитентом (в целях защиты прав плательщика), при которой сумма платежа безакцептно списывается с получателя (банка-эквайера) и возвращается плательщику, после чего обязанность доказательства истинности транзакции возлагается на получателя платежа.
3
ISS (Internet Information Services) – проприетарный набор серверов для нескольких служб Интернета от компании Microsoft. IIS распространяется с операционными системами семейства Windows NT.
4
Кейло́ггер (англ. keylogger, правильно читается «ки-ло́ггер» – от key – клавиша и logger – регистрирующее устройство) – программное обеспечение или аппаратное устройство, регистрирующее различные действия пользователя – нажатия клавиш на клавиатуре компьютера, движения и нажатия клавиш мыши и пр.