Безопасность систем пластиковых карт

Лекции

1 неделя (3 часа). Технология банковских карт. Основные термины и определения. Общее описание
Классификация карт. Банковских и платежных карт.
Положение ЦБ РФ 266-П “Об эмиссии банковских карт и об операциях, совершаемых с их использованием”.
Основные определения: эмитент, эквайрер, расчетный банк. Общая схема платежной системы.
Механизм осуществления платежа по карте. Протокол ИСО 8583. Расчеты между участниками платежной системы.
Международные платежные системы (МПС) Visa и MasterCard. Российские платежные системы. Процессинговые центры.
2 неделя (3 часа). Основы безопасности выпуска и обслуживания банковских карт с магнитной полосой
Стандарты в области карт с магнитной полосой.
Содержания дорожек магнитной полосы.
Обеспечение криптографической защиты. Hardware security module. Работа с криптографическими ключами.
Методы генерации и верификации ПИН-кода. Форматы ПИН-блока.
Методы верификации карты. Card verification code, card verification value.
Аутентификация держателя карты. Особенности операций: карта присутствует, карта не присутствует (MOTO, Интернет операции, регулярные платежи, гостиницы, аренда автомобилей).
3 неделя (3 часа). Мошенничество с банковскими картами
Определение мошеннической операции.
Классификация видов мошенничества по категориям МПС Visa и MasterCard.
Определение поддельной карты. Как определить поддельную карту? Элементы защиты в дизайне банковской карты.
Алгоритм Luhn.
Методы и способы мошенничества: утерянные/украденные карты; неполученные карты; мошеннические заявления на выдачу карт; физическое отсутствие карты при совершении операций; поддельные карты; мошенничество, основанное на перерасходе средств.
Банкоматное мошенничество, мошенничество в торгово-сервисных предприятиях, мошенничество в сети Интернет.
4 неделя (3 часа). Проблемы информационной безопасности технологии банковских карт. Требования МПС
Положение ЦБ РФ 266-П. Федеральный закон №184-ФЗ “О техническом регулировании”. Определение риска.
Нормативные документы ЦБ РФ. Стандарт Банка России СТО-БР ИББС 2006. Операционный и репутационный риски.
Проблема аутентификации лица, совершающего операцию.
Требования и операционные правила международных платежных систем.
Обеспечение информационной безопасности на различных уровнях технологии.
5 неделя (3 часа). Стандарт PCI DSS
Компрометация данных платежных карт. Уязвимости технологии карт с магнитной полосой.
Назначение стандарта.
Основные требования стандарта: построение и поддержание безопасной сети, защита данных держателей карт, программа управления уязвимостями, реализация строгих мер контроля доступа, регулярный мониторинг и тестирование сетей, поддержание политики информационно безопасности.
Сертификация по стандарту.
6 неделя (3 часа). Основные направления деятельности по предотвращению мошенничества
Соблюдение требований стандартов.
Выработка и поддержание политики безопасности.
Требования к персоналу.
Внедрение современных технологий.
Анализ заявлений клиентов.
Обработка заявлений предприятий торговли.
Роль банка в проведении расследований.
7 неделя (3 часа). Юридические аспекты обеспечения безопасности
Функционирование платежных систем – гражданско-правовые вопросы.
Правовая характеристика противоправных действий с использованием банковских карт
Статья 14 УК РФ — преступление. Элементы состава преступления.
Статья 159 УК РФ – мошенничество.
Статья 187 УК РФ – изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов.
Статья 272 УК РФ – неправомерный доступ к компьютерной информации.
Совокупность преступлений.
Судебная практика.
8 неделя (3 часа). Программы безопасности международных платежных систем. Претензионная работа
Программы безопасности Visa: Fraud Reporting System (FRS), Risk Identification Service (RIS), National Merchant Alert Service (NMAS).
Программы безопасности MasterCard: System to Avoid Fraud Effectively (SAFE), Member Alert to Control High-Risk (MATCH), Risk Assessment Management Program (RAMP).
Претензионная работа. Основной вопрос – кто оплатит убытки? Риски эмитента. Риски эквайрера.
Роль платежных систем.
Спорная операция. Виды спорных операций.
Этапы претензионного цикла: запрос копии подтверждающих документов, 1-я финансовая претензия, представление транзакции эквайрером, участие в арбитражном процессе.
Виды мошенничества и распределение ответственности.
Другие аспекты претензионной работы, практика.
9 неделя (3 часа). Системы мониторинга транзакций
Что такое мониторинг?
Постановка задачи мониторинга транзакций для выявления мошенничества и оперативного реагирования для уменьшения рисков.
Классификация систем мониторинга.
Требования международных платежных систем к мониторингу.
Системы мониторинга, существующие на рынке.
Управление параметрами мониторинга и выбор мер реагирования.
10 неделя (3 часа). Микропроцессорные карты стандарта EMV
Стандарты для микропроцессорных карт.
Физические параметры микропроцессорной карты. Элементы микросхемы микропроцессорной карты.
Общие положения спецификации EMV.
Архитектура микросхемы EMV.
Коммуникационные протоколы: T0, T1. Протоколы прикладного уровня.
Файловая структура EMV карты. Объекты данных. Условия доступа к файлам. Команды EMV приложения.
Атаки на EMV карты – программные и физические.
11 неделя (3 часа). Микропроцессорные карты стандарта EMV (продолжение)
Безопасность в стандарте EMV.
Управление криптографическими ключами.
Методы аутентификации карты: SDA, DDA, CDA.
Проверка ПИН-кода в отложенном (off-line) режиме.
Типы прикладных криптограмм, формируемых картой.
Проведение транзакции по микропроцессорной карте.
Переход на микропроцессорные карты. Проблемы переходного этапа.
Программа Chip&PIN: за и против.
EMV – уязвимости и атаки. Уязвимости Pin Entry Device и методы защиты. EMV Relay Attack. Модификация EMV терминала.
12 неделя (3 часа). Безопасность платежей в Интернете
Операции без присутствия карты 9Card Not Present — CNP).
Развитие платежей в сети Интернет.
CNP мошенничество.
Статистика мошенничества в сети Интернет с использованием банковских карт.
Требования к стойкости протоколов электронной коммерции.
Протоколы безопасного взаимодействия в Интернет: SET, 3D Secure.
3D Secure. Взаимодействие участников. Подписка держателей карт. Проведение транзакции. Особенности и уязвимости.
MasterCard UCAF.
Двухфакторная аутентификация. Одноразовые пароли, запрос/ответ. Коммерческие решения.
13 неделя (3 часа). Фишинг. Мультиаппликационные карты
Фишинг. Определения. Статистика. Методы. Жизненный цикл.
Определение мультиаппликационной карты.
Техническая основа мультиаппликационных карт.
Социальная “карта москвича”.
MIFARE Standard. Особенности. Управление ключами. Взлом чипов.
Программные платформы JavaCard, OpenCard, PC/SC.
Примеры проектов на основе мультиаппликационных карт.

Литература

  1. Голдовский И.М. Безопасность платежей в Интернете. – С-П.: Питер, 2001. – 238 с.
  2. Быстров Л.В. и [др.]. Пластиковые карты. — М.: Издательская группа «БДЦ-пресс», 2005. – 624 с.
  3. Авакова Ю.М. [и др.]. Платежные карты: бизнес-энциклопедия. М.: Маркет ДС, 2008. – 760 с.
  4. PCI Security Standards Council – http://www.pcisecuritystandards.org
  5. Стандарты информационной безопасности в кредитно-финансовой сфере. Стандарты Банка России – http://www.abiss.ru/doc