Основы обеспечения безопасности технологий банковских карт

Лекции

Раздел 1. Основы технологии банковских карт

1 неделя (2 часа). Технология банковских карт. Основные термины и определения. Общее описание
Классификация карт. Банковских и платежных карт.
Положение ЦБ РФ 266-П “Об эмиссии банковских карт и об операциях, совершаемых с их использованием”.
Основные определения: эмитент, эквайрер, расчетный банк. Общая схема платежной системы.
Механизм осуществления платежа по карте. Протокол ИСО 8583. Расчеты между участниками платежной системы.
Международные платежные системы (МПС) Visa и MasterCard. Российские платежные системы. Процессинговые центры.
2 неделя (2 часа). Основы безопасности выпуска и обслуживания банковских карт с магнитной полосой
Стандарты в области карт с магнитной полосой.
Содержания дорожек магнитной полосы.
Обеспечение криптографической защиты. Hardware security module. Работа с криптографическими ключами.
Методы генерации и верификации ПИН-кода. Форматы ПИН-блока.
Методы верификации карты. Card verification code, card verification value.
Аутентификация держателя карты. Особенности операций: карта присутствует, карта не присутствует (MOTO, Интернет операции, регулярные платежи, гостиницы, аренда автомобилей).

Раздел 2. Микропроцессорные карты стандарта EMV

3 неделя (2 часа). Аппаратное и программное обеспечение микропроцессорных карт стандарта EMV
Стандарты для микропроцессорных карт.
Физические параметры микропроцессорной карты. Элементы микросхемы микропроцессорной карты.
Общие положения спецификации EMV.
Архитектура микросхемы EMV.
Коммуникационные протоколы: T0, T1. Протоколы прикладного уровня.
Файловая структура EMV карты. Объекты данных. Условия доступа к файлам. Команды EMV приложения.
4 неделя (2 часа).
Атаки на EMV карты – программные и физические.
Безопасность в стандарте EMV.
Управление криптографическими ключами.
Методы аутентификации карты: SDA, DDA, CDA.
Проверка ПИН-кода в отложенном (off-line) режиме.
Типы прикладных криптограмм, формируемых картой.
Проведение транзакции по микропроцессорной карте.
Переход на микропроцессорные карты. Проблемы переходного этапа.
Программа Chip&PIN: за и против.
EMV – уязвимости и атаки. Уязвимости Pin Entry Device и методы защиты. EMV Relay Attack. Модификация EMV терминала.
5 неделя (2 часа). Мультиаппликационные карты
Определение мультиаппликационной карты.
Техническая основа мультиаппликационных карт.
Социальная “карта москвича”.
MIFARE Standard. Особенности. Управление ключами. Взлом чипов.
Программные платформы JavaCard, OpenCard, PC/SC.
Примеры проектов на основе мультиаппликационных карт.

Раздел 3. Проблемы информационной безопасности ПСБК

6 неделя (2 часа). Проблемы информационной безопасности технологии банковских карт. Требования МПС
Положение ЦБ РФ 266-П. Федеральный закон №184-ФЗ “О техническом регулировании”. Определение риска.
Нормативные документы ЦБ РФ. Стандарт Банка России СТО-БР ИББС 2006. Операционный и репутационный риски.
Проблема аутентификации лица, совершающего операцию.
Требования и операционные правила международных платежных систем.
Обеспечение информационной безопасности на различных уровнях технологии.
7 неделя (2 часа). Стандарт PCI DSS
Компрометация данных платежных карт. Уязвимости технологии карт с магнитной полосой.
Назначение стандарта.
Основные требования стандарта: построение и поддержание безопасной сети, защита данных держателей карт, программа управления уязвимостями, реализация строгих мер контроля доступа, регулярный мониторинг и тестирование сетей, поддержание политики информационно безопасности.
Сертификация по стандарту.
8 неделя (2 часа). Программы безопасности международных платежных систем. Претензионная работа
Программы безопасности Visa: Fraud Reporting System (FRS), Risk Identification Service (RIS), National Merchant Alert Service (NMAS).
Программы безопасности MasterCard: System to Avoid Fraud Effectively (SAFE), Member Alert to Control High-Risk (MATCH), Risk Assessment Management Program (RAMP).
Претензионная работа. Основной вопрос – кто оплатит убытки? Риски эмитента. Риски эквайрера.
Роль платежных систем.
9 неделя (2 часа).
Спорная операция. Виды спорных операций.
Этапы претензионного цикла: запрос копии подтверждающих документов, 1-я финансовая претензия, представление транзакции эквайрером, участие в арбитражном процессе.
Виды мошенничества и распределение ответственности.
Другие аспекты претензионной работы, практика.
10 неделя (2 часа). Системы мониторинга транзакций
Постановка задачи мониторинга транзакций для выявления мошенничества и оперативного реагирования для уменьшения рисков.
Классификация систем мониторинга.
Требования международных платежных систем к мониторингу.
Системы мониторинга, существующие на рынке.
Управление параметрами мониторинга и выбор мер реагирования.
11 неделя (2 часа). Безопасность платежей в Интернете
Операции без присутствия карты 9Card Not Present — CNP).
Развитие платежей в сети Интернет.
CNP мошенничество.
Статистика мошенничества в сети Интернет с использованием банковских карт.
Требования к стойкости протоколов электронной коммерции.
12 неделя (2 часа).
Протоколы безопасного взаимодействия в Интернет: SET, 3D Secure.
3D Secure. Взаимодействие участников. Подписка держателей карт. Проведение транзакции. Особенности и уязвимости.
MasterCard UCAF.
Двухфакторная аутентификация. Одноразовые пароли, запрос/ответ. Коммерческие решения.

Раздел 4. Борьба с мошенничеством в ПСБК

13 неделя (2 часа). Мошенничество с банковскими картами
Определение мошеннической операции.
Классификация видов мошенничества по категориям МПС Visa и MasterCard.
Определение поддельной карты. Как определить поддельную карту? Элементы защиты в дизайне банковской карты.
Алгоритм Luhn.
Методы и способы мошенничества: утерянные/украденные карты; неполученные карты; мошеннические заявления на выдачу карт; физическое отсутствие карты при совершении операций; поддельные карты; мошенничество, основанное на перерасходе средств.
Банкоматное мошенничество, мошенничество в торгово-сервисных предприятиях, мошенничество в сети Интернет.
14 неделя (2 часа). Фишинг
Фишинг. Определения. Статистика. Методы. Жизненный цикл.
15 неделя (2 часа). Основные направления деятельности по предотвращению мошенничества
Соблюдение требований стандартов.
Выработка и поддержание политики безопасности.
Требования к персоналу.
Внедрение современных технологий.
Анализ заявлений клиентов.
Обработка заявлений предприятий торговли.
Роль банка в проведении расследований.
16 неделя (2 часа). Юридические аспекты обеспечения безопасности
Функционирование платежных систем – гражданско-правовые вопросы.
Правовая характеристика противоправных действий с использованием банковских карт
Статья 14 УК РФ — преступление. Элементы состава преступления.
Статья 159 УК РФ – мошенничество.
Статья 187 УК РФ – изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов.
Статья 272 УК РФ – неправомерный доступ к компьютерной информации.
Совокупность преступлений.
Судебная практика.

Семинары

  1. Международные платежные системы (МПС) Visa и MasterCard.
  2. Международные стандарты по обеспечению безопасности банковских карт (стандарты ISO/IEC).
  3. Современные мультиаппликационные карты. Примеры приложений, использующих микропроцессорные пластиковые карты.
  4. Мониторинг транзакций по банковским картам.
  5. Безопасность платежей в интернете.
  6. Виды мошеннических действий при операциях с банковкими картами.
  7. Предотвращение мошшеничества при операциях с банковскими картами.
  8. Претензионная работа с клиентами ПСБК.

Литература

  1. Быстров Л.В. и [др.]. Пластиковые карты. — М.: Издательская группа «БДЦ-пресс», 2005.
  2. Авакова Ю.М. [и др.]. Платежные карты: бизнес-энциклопедия. М.: Маркет ДС, 2008.
  3. Безопасность карточного бизнеса: бизнес-энциклопедия / А.К. Алексанов, И.А. Демчев, А.М. Доронин [и др.]. — М.: Московская финансово-промышленная академия; ЦИПСиР, 2012. — 432 с.

Дополнительная литература

  1. Голдовский И.М. Безопасность платежей в Интернете. – СПб.: Питер, 2001
  2. PCI Security Standards Council – http://www.pcisecuritystandards.org.
  3. Стандарты информационной безопасности в кредитно-финансовой сфере. Стандарты Банка России – http://www.abiss.ru/doc.