Европейский подход к защите интернет-платежей

Европейский центральный банк опубликовал рекомендации по обеспечению безопасности и руководство по оценке защищенности интернет-платежей. С 1 февраля 2015 года ужесточаются требования к кредитным организациям еврозоны по осуществлению интернет-платежей. В дополнение к требованиям стандарта PCI DSS банки будут осуществлять строгую аутентификацию владельцев платежных карт при оплате через Интернет.

В России, как и во всем мире, большую популярность набирают дистанционные виды обслуживания. Различают несколько видов платежей через Всемирную сеть:

•  по картам в интернет-магазинах;
•  с использованием интернет-банкинга;
•  с помощью электронных денежных средств.

В нашей стране сфера интернет-платежей регулируется Положением Банка России от 9.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…», стандартом ЦБ РФ СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы РФ», а также рядом писем Банка России, требования которых вошли в опубликованный в мае 2014 года проект указания «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П».

Тем не менее вопросу обеспечения безопасности интернет-платежей с использованием платежных карт уделено крайне мало внимания.

С 2008 года Европейский центральный банк (ЕЦБ) ведет статистическое наблюдение за карточными платежными системами, в том числе за количеством и объемом мошеннических транзакций в государствах – участниках Евросоюза и странах еврозоны (www.ecb.europa.eu). Ежегодно фиксируется прирост количества и объемов мошенничеств при дистанционном обслуживании. Вместе с тем учитывая ежегодное увеличение на 15–20% объемов операций, совершаемых через сеть Интернет, эксперты прогнозируют и рост киберпреступности.

Европейский совет по обеспечению безопасности розничных платежей (European Forum on the Security of Retail Payments, SecuRe Pay) для защиты от мошеннических транзакций через Интернет разработал документ Recommendations for the security of internet payments (далее – рекомендации ЕЦБ, www.ecb.eu).

Рекомендации ЕЦБ распространяются на всех поставщиков и операторов платежных интернет-услуг. В рекомендациях определены минимальные требования для следующих платежных сервисов:

•  операции с использованием платежных карт, в том числе виртуальных, через Интернет, регистрация платежных карт в электронных кошельках;
•  перевод денежных средств через Интернет;
•  создание и изменение электронных платежных поручений;
•  перевод электронных денежных средств между двумя счетами через Интернет.

Рекомендации ЕЦБ основаны на регулярной оценке рисков, связанных с интернет-платежами; строгой аутентификации клиента при создании интернет-платежа и доступе к конфиденциальной платежной информации (информации, с использованием которой может быть совершено мошенничество); авторизации и мониторинге транзакций и систем; повышении осведомленности и обучении клиентов вопросам безопасного использования систем интернет-платежей.

Рекомендации ЕЦБ включают требования по управлению информационной безопасностью; оценке рисков; контролю и уведомлению об инцидентах; обработке рисков; отслеживаемости транзакций; первичной идентификации и информированию клиента; строгой аутентификации клиента; регистрации и предоставлению средств аутентификации и/или программного обеспечения клиенту; ограничению количества попыток аутентификации, прекращению сессии, допустимого времени аутентификации; контролю транзакций; защите конфиденциальных платежных данных; обучению и взаимодействию с клиентом; установке ограничений и уведомлению клиента; доступу клиентов к информации о статусе платежей и их выполнении.

В 2014 году SecuRe Pay разработал руководство по оценке защищенности интернет-платежей (Assessment guide for the security of internet payments,  www.ecb.europa.eu), которое детализирует рекомендации ЕЦБ.

Особый интерес представляют требования по строгой аутентификации клиентов, поскольку эти предписания не имеют аналогов в нормативных документах Банка России.

Согласно рекомендациям Европейского центрального банка использование строгой аутентификации требуется в следующих случаях:

•  авторизация интернет-платежа;
•  создание и изменение электронных платежных поручений;
•  создание и изменение клиентом белых списков получателей платежа;
•  получение доступа или изменение конфиденциальных данных аутентификации.

Строгую аутентификацию допустимо не использовать по результатам оценки рисков для следующих операций:

•  платежи доверенным получателям, включенным в белые списки клиента;
•  переводы между двумя счетами клиента, открытыми у одного поставщика платежных услуг;
•  переводы в рамках одного поставщика платежных услуг, определенные по результатам оценки рисков;
•  небольшие платежи (до 500 евро, по решению участника Евросоюза).

Система строгой аутентификации должна отвечать следующим требованиям:

1.  использование двух или более независимых факторов аутентификации, например «знание», «владение», «свойство» пользователя;
2.  применение признанных открытых стандартов при реализации функций безопасности;
3.  использование защищенных устройств для генерации одноразовых стойких и независимых паролей;
4.  использование независимых каналов связи для создания платежа и для получения или генерации одноразового пароля при применении многофункциональных устройств;
5.  обеспечение приемлемой вероятности ошибок при аутентификации;
6.  компрометация одного из элементов аутентификации не должна ослаблять стойкость других элементов;
7.  проведение аутентификации после ввода пользователем всех аутентификационных данных; в случае неправильной аутентификации пользователю не сообщается ошибочный элемент;
8.  использование кодов аутентификации однократно и для совершения только определенных операций;
9.  невозможность воспроизвести или сделать рабочую копию элемента аутентификации даже в случае обладания им (за исключением «свойства»), невозможность украсть конфиденциальную аутентификационную информацию через Интернет;
10.  обеспечение конфиденциальности аутентификационных данных с момента их генерации до проверки сервером аутентификации;
11.  сертификация или независимая оценка соответствия уровня защищенности устройств аутентификации с проведением теста на проникновение (при использовании факторов «владение» или «свойство»);
12.  регулярная оценка защищенности системы строгой аутентификации (например, с использованием тестов на проникновение).

Многие системы ДБО российских производителей уже поддерживают строгую аутентификацию или нуждаются в незначительной доработке.

Проведение тестов на проникновение потребует от банков наличия в штате соответствующего квалифицированного персонала либо привлечения сторонних организаций.

Сертификация устройств генерации одноразовых паролей или биометрических считывателей может занять много времени.

Практически единственным решением для строгой аутентификации интернет-платежей с использованием платежных карт является технология 3-D Secure, разработанная компанией Visa, в сочетании с одноразовыми паролями.

В заключение необходимо отметить, что для эффективной борьбы с киберпреступностью нужно применять новые решения и повышать эффективность существующих защитных мер. Строгая аутентификация является одним из условий обеспечения безопасности интернет-платежей. Российским банкам следует активнее внедрять системы строгой аутентификации, а также обязать работающих с ними поставщиков платежных услуг и торгово-сервисные предприятия поддерживать эти технологии.

Не следует забывать, что для защиты интернет-платежей должен быть реализован комплексный подход к обеспечению информационной безопасности, учитывающий требования Банка России, стандартов PCI DSS и современные международные практики.

1.  По данным ЕЦБ в Европе фиксируется около 25 тысяч мошеннических операций с использованием платежных карт в день. Ущерб составляет в среднем 3,5 млн евро ежедневно.
2.  По данным ЕЦБ в 2012 году зафиксировано 9,1 млн случаев мошенничеств с использованием платежных карт на общую сумму 1,33 млрд евро.
3.  По данным ЕЦБ 60% мошеннических транзакций происходят при дистанционном обслуживании. Количество мошенничеств в этом сегменте за 2012 год выросло на 21%, размер ущерба за год достиг 794 млн евро.
4.  В дополнение к требованиям PCI DSS по защите данных владельцев карт с 1 февраля 2015 года европейские эмитенты и эквайеры платежных карт, предприятия электронной коммерции и поставщики услуг электронного кошелька будут обязаны соблюдать рекомендации ЕЦБ.
5.  С 1 ноября 2014 года российские операторы электронных денежных средств должны будут обеспечить упрощенную идентификацию клиента с использованием единой системы идентификации и аутентификации (ЕСИА).
6.  Технология 3-D Secure разработана компанией Visа. Она позволяет эмитенту платежной карты аутентифицировать ее владельца при совершении покупки через Интернет. Технология основана на взаимодействии трех доменов (доменов эквайера, эмитента и домена, обеспечивающего их взаимодействие). Аутентификация выполняется на основе постоянного или одноразового пароля.
7.  Уральский центр систем безопасности обладает статусом QSA (Qualified Security Assessors) и внесен в реестр организаций, имеющих право проводить внешнюю оценку соответствия требованиям стандарта PCI DSS.

Официальный перечень компаний, наделенных такими полномочиями, размещен сайте Совета по стандартам безопасности индустрии платежных систем (PCI SSC).

Автор: Евгений Миронов, ведущий аналитик ООО «УЦСБ», QSA