На головну сторінку   Всі книги

А. К. Алексанов І. А. Демчев А. М. Доронин. Безпека карткового бізнесу : бізнес-енциклопедія Московська фінансово-промислова академія; Ципсир; Москва; 2012. 2012

У книзі даний докладний опис політики безпеки на всіх етапах життєвого циклу банківської карти - від цеху, де проводиться пластикова заготовка майбутньої карти, до торговельної й сервісної сфери, де карта ухвалюється до оплати. Окремо розглянуті міжнародні стандарти PSI DSS і практика їх застосування. Дана класифікація карткових ризиків, викладена методика оцінки ризиків емітента з використанням моніторингу карткових транзакцій. Докладно описані види карткового шахрайства й методи його профілактики. Окремі глави присвячені претензійній роботі з операцій з банківськими картами й забезпеченню безпеки процессингового центру. Проаналізоване чинне російське законодавство, викладена судова практика з докладним описом кримінальних справ, пов'язаних з картковим шахрайством, доведених до суду. Дані загальні рекомендації з інформаційної безпеки корпоративної системи банку як фундаменту безпеки карткового бізнесу. Книга орієнтована на співробітників карткових підрозділів, відділів інформаційної безпеки комерційних банків, фахівців процессингових центрів, правоохоронних органів, що займаються кримінальними справами по картковому шахрайству персоналу, що керує, супермаркетів, інших торговельних організацій, студентів фінансових вузів. Передмова
Введення
Розділ 1 Шахрайство в сфері банківських платіжних карт
Огляд банківських ризиків від шахрайства із платіжними картами і їх реквізитами. Практичні заходи щодо мінімізації ризиків і збитку від дій шахраїв для банків емітентів і еквайреров
Види шахрайства для кредитної організації - емітента
Загублені/украдені карти (Lost/Stolen cards)
Неодержані карти (Not Received Items) або карти, украдені під час їх передачі від банку клієнтові
Підроблені карти (Counterfeit cards, CNTF) або фальсифіковані карти
Оплата по реквізитах карти Card Not Present ( Cnp-Фрод)
Використання персональних даних третіх осіб у шахрайських цілях (ID Theft)
Види шахрайства для еквайрера
Підприємства, регистрируемие для здійснення шахрайства
Шахрайство персоналу торговельної крапки
Підробка платіжних документів, переданих у банк на оплату
Перехватсчетатсп (Merchant Account Takeover)
Обналичивание
Інші види шахрайства
Шахрайство з використанням банкоматів «Скимминг»
Зняття готівки по картах, украдених разом з Пін-кодом
«Дружнє» шахрайство
«Ліванська петля» (card trapping)
Підміна або розкрадання карти
«Щипачество»
Cash Trapping (накладки на лотку для видачі готівки)
Шахрайство, спрямоване на збір інформації про платіжні реквізити карт Фишинг (phishing). Фарминг (pharming)
Фальшиві банкомати й пункти видачі готівки
Практичні заходи комплексного захисту банку-емітента
Практичні заходи комплексного захисту банку-еквайрера
Кримінальна відповідальність за злочини в сфері банківських карт Втрати в сфері платіжних банківських карт
Кримінальна діяльність і Кримінальний кодекс Російської Федерації
Юридична кваліфікація й види розкрадань, чинених із платіжними картами
Поняття, види й способи здійснення розкрадань у сфері обороту платіжних карт
«Крадіжка» - ст. 158 КК РФ
«Шахрайство» - ст. 159 КК РФ
«Заподіяння майнового збитку шляхом обману або зловживання довірою» - ст. 165 КК РФ
Предмет і об'єкт даної категорії злочинів
Установлення потерпілого
Ознаки й утримування об'єктивної сторони
Об'єктивна сторона крадіжки
Об'єктивна сторона шахрайства
Об'єктивна сторона заподіяння майнового збитку шляхом обману або зловживання довірою
Суб'єкт і суб'єктивна сторона розкрадань, чинених у даній сфері
Суб'єктивна сторона крадіжки
Суб'єктивна сторона шахрайства
Кримінально-правова характеристика й способи здійснення злочинів, пов'язаних з виготовленням з метою збуту й збутому підроблених кредитних або розрахункових карт, а також інших платіжних документів Стаття 187 КК РФ
Кредитні, розрахункові карти й інші платіжні документи як предмет злочинного зазіхання
Складові об'єкта й об'єктивної сторони злочину
Збут підроблених кредитних або розрахункових карт
Визначення «інші платіжні документи»
Підроблені платіжні документи
Виготовлення підроблених платіжних документів
Суб'єкт і суб'єктивна сторона злочину
Комп'ютерні злочини в сфері обороту платіжних карт
Статті 272 і 273 КК РФ. Поняття, види й способи здійснення злочинів
Предмет і об'єкт злочинів
Ознаки й утримування об'єктивної сторони
Суб'єкт і суб'єктивна сторона
«Банковська таємниця» - ст. 183 КК РФ
Аналіз карного законодавства стосовно до злочинів з банківськими картами
Суспільна небезпека
Конфлікт інтересів дізнання й следстви
Застосування статті 187 КК РФ
Застосування статей 158 і 159 КК РФ
Розділ 2 Міжнародні стандарти безпеки
Стандарти міжнародних платіжних систем: PCI DSS і суміжні стандарти
Стандарт PCI DSS
Історія стандарту
Сфери застосування PCI DSS
Опис вимог стандарту
Побудова й підтримка захищеної мережі
Захист даних власників карт
Реалізація програми керування уразливостями
Реалізація заходів для строгого контролю доступу
Регулярний моніторинг і тестування мереж
Підтримка політики інформаційної безпеки
Застосування компенсаційних заходів
Застосовність стандарту й підтвердження його дотримання
Опис програми VISA AIS Застосовність стандарту безпеки даних PCI в організаціях, що працюють із VISA
Інструменти перевірки відповідності
Інструменти перевірки
Хто може перевіряти відповідність?
Необхідні дії
У випадку компрометації
Опис програми Mastercard SDP
Факти про PCI DSS
Інші стандарти PCI
PCI PED[74]
PA DSS
PCI DSS і російська дійсність
PCI DSS і реальна безпека платіжної системи банківських карт
Безпека платіжних карт - два шляхи
PCI DSS = безпека платіжних карт?
Недоліки й протиріччя PCI DSS
Розділ 3 Забезпечення безпеки карткового бізнесу
Оцінка ризиків емітента в платіжній системі банківських карт із використанням моніторингу транзакцій
Платіжні карти й ризики банку
Шахрайство з банківськими картами й ризики емітента
Постановка завдання моніторингу транзакцій
Класифікація СМТ
Моніторинг транзакцій емитенто
Проблема прийняття розв'язків при моніторингу
Особливості моніторингу деяких операцій
Підходи до оцінки ризиків
Оцінка ризиків у ПСБК
Украдені й загублені карти
Неодержані карти
Підроблені карти
Операції без присутності карти
Використання даних клієнта й інформації з рахунку
Erd-Діаграма [82] бази даних шахрайських операцій
Розрахунки ризиків
Приклади моніторингу операцій
Моніторинг операцій у різних країнах із присутністю карти
Моніторинг операцій по картах, що використовувалися в регіоні можливої компрометації
Виявлення шахрайських операцій у мережі Інтернет
Основні напрямки забезпечення інформаційної безпеки корпоративної системи як фундаменту безпеки карткового бізнесу
Основні принципи захисту робочих станцій співробітників банку
Використання SIEM і сканера безпеки в організації і як це спрощує жизн
Небагато про ПО для зломів і захисту
Реальна безпека замість паперової
Доклиентский цикл і його безпека
Проведення заготовок, доставка в банк і зберігання
Безпека центру персонализації
Розділ 4 Претензійна робота в банку
Загальні положення
Розрахунковий цикл операцій по банківських картах
Оформлення претензій клієнтів
Структура ARN (ARD, acquirer reference data)
Приклад
Основні етапи претензійного циклу
Робота із супровідними документами
Тимчасові діапазони претензійного циклу
Non-compliance і Pre-Compliance. Good Faith Letter
Щоденні процедури претензійного циклу
Розділ 5 Забезпечення безпеки процессингового центру
Фізична безпека бюро персонализації
Визначення зовнішнього периметра
Вимоги до будинку БП
Процедури доступу в приміщення БП
Приміщення приймання/передачі (goods/tools trap, GTT)
Опис процедури приймання/передачі карт
Вимоги до виробничих приміщень (HSZ) БП
Поняття й опис шлюзу
Вимоги до приміщень персонализації й роздруківки Пин-Конвертів
Серверна (кімната генерації ключів)
Сховище БП
Приміщення для знищення карт і інших матеріалів
Запасний вихід, датчики, висвітлення, контроль периметра
Камери спостереження й відеозапис
Кімната охорони (мониторная, SCR)
Тривожні кнопки (duress buttons)
Безпека апаратній і мережної інфраструктури
Загальні питання організації мережної безпеки
Мережний рівень безпеки
Користувацький рівень безпеки
Безпека рівня додатків
Інноваційні розв'язки в області забезпечення безпеки ПЦ
Додатка
Додаток 1 Судово-слідча практика
Кримінальна справа №7013396 від 11 жовтня 2007 р., Астрахань. Еквайринг ТСП
ЗАЯВА ПРО ЗЛОЧИН одного з банків-еквайреров: (Витягу)
Обвинувачується amp;lt;...amp;gt;
Судові розв'язки
Постанова (Витягу)
ВИРОК ІМЕНЕМ РОСІЙСЬКОЇ ФЕДЕРАЦІЇ (Витягу)
Касаційне визначення (Витягу) Кримінальна справа №22-349/09 від 5 лютого 2009 р. Судова колегія Встановила: amp;lt;... amp;gt;
Коментарі
Кримінальна справа №044162 від 11 березня 2008 р., Москва. Еквайринг ТСП ЗАЯВА
Кримінальна справа №772270 від 8 липня 2008 р., Санкт-Петербург.
Обвинувальний висновок (Витягу)
Суддя Приморського районного суду м. Санкт-Петербурга Встановив:
Кримінальна справа №50570 від 31 серпня 2007 р., Йошкар-Ола. Еквайринг АТМ
Судові розв'язки Вирок (Витягу)
Касаційне визначення
Кримінальна справа №248100, Санкт-Петербург. Фабрика «Leroy» Обвинувальний висновок (Витягу)
Касаційне визначення (Витягу)
Додаток 2 Типова методика дослідження інформації, що перебуває на магнітній смузі платіжних карт [111]
Об'єкти дослідження
1. Функції пластикових карт
2. Поняття й основні характеристики платіжних карт.
4. Формат запису інформації на магнітну смугу платіжної карти.
Алгоритм розрахунків контрольної цифри номера картки ( Luhn-Алгоритм):
BIN (ідентифікаційний номер банку)
Сутність методики
1. питання, що дозволяються,
2. Устаткування
3. Послідовність дій
Формулювання висновків
Література