Транзакции без присутствия карты
На сегодняшний день ведущие МПС поддерживают единственный протокол безопасной электронной коммерции - 3D Secure. Если транзакция без присутствия карты проведена не с использованием защищенного протокола, то ответственность за мошенничество возлагается на банк-эквайрер. Тем не менее до сих пор большая часть транзакций в Интернете проводится без использования безопасных протоколов. Часто для проведения транзакции в интернет-магазине достаточно просто номера карты, и, дополнительно, срока действия, кода верификации карты CVC2/CVV2. Серьезной проблемой является кража данных о реквизитах карт с серверов интернет-магазинов, которые, несмотря на запреты и требования безопасности (включая PCI DSS), хранят в своих системах номера карт, сроки действия, CVV2/CVC2, иные данные, используемые при осуществлении транзакций.
Из сказанного можно сделать несколько важных выводов:
- возможна компрометация данных банковских карт после проведения легальных транзакций в интернет-магазинах из-за хранения этих данных в автоматизированных системах этих магазинов;
- если интернет-магазин и банк-эквайрер поддерживают безопасный протокол 3D Secure, то ответственность за мошенническую транзакцию, как правило, лежит на эмитенте.
Определим
, (11)
где - вероятность совершения мошеннической транзакции без присутствия карты,
- вероятность компрометации данных для проведения мошеннических транзакций без присутствия карты (номер карты, срок действия, CVC2/CVV2),
|
|
- вероятность использования скомпрометированных данных для проведения мошеннических транзакций,
- вероятность принятия данных для проведения транзакции без присутствия карты,
- вероятность обнаружения несанкционированной транзакции эмитентом.
Из формул (3) и (11) следует, что риск по транзакциям без присутствия карты:
, (12)
где - доступные средства на счете клиента для проведения операций без присутствия карты.
Украденные и утерянные карты
До момента вступления в силу положений Закона "О национальной платежной системе" N ФЗ-161 в части ответственности банков по несанкционированным транзакциям ответственность за совершенные по утраченным или украденным картам транзакции, в соответствии с договором между банком-эмитентом и держателем карты, часто лежала на последнем. В связи с новыми требованиями закона риски по таким транзакциям банк должен учитывать и обрабатывать, полностью перенести его на клиента теперь не представляется возможным.
Карта может быть утрачена вместе с ПИН-кодом либо без него. В первом случае, который означает совместное хранение карты и ПИН-кода держателем карты, злоумышленник скорее воспользуется картой для получения наличных денежных средств в банкомате. Если же ПИН-код неизвестен, то вероятно проведение мошеннических транзакций в ТСП. Также встречаются факты использования реквизитов физически утерянных карт в Интернете. Определим
|
|
, (13)
где - риск по транзакциям с утраченной картой без знания ПИН-кода,
- риск по транзакциям с поддельной картой при известном ПИН-коде.
При наличии у злоумышленника утраченной карты не требуется изготовление подделки или использование скомпрометированных данных - и подлинная карта, и ее реквизиты доступны. Таким образом, = 0 и с учетом (10) при условии использования поддельной карты либо в банкомате, либо в ТСП:
, (14)
где - вероятность утраты карты без ПИН-кода,
- вероятность использования утраченной карты для проведения транзакций в ТСП,
- вероятность обнаружения мошенничества по утраченной карте в ТСП эмитентом,
- вероятность утраты карты вместе с ПИН-кодом,
- вероятность обнаружения эмитентом мошенничества в банкомате по утраченной карте.
Дата добавления: 2019-02-12; просмотров: 183; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!