УДК [004:336.71](031.021.4)
ББК 65.262ÿ20
Á40
Руководитель проекта, редактор-составитель
À. Ñ. Воронин
Руководитель проекта по маркетингу и рекламе
Ì. Ã. Ручкина
Авторы:
Алексанов À. Ê., Демчев È. À., Доронин À. Ì., Казакова Å. Â., Колесов È. Á.,
Кузин Ì. Â., Пятиизбянцев Í. Ï., Саенко Ã. Â., Серебряков Ñ. Â., Тушканова Î. Â.,
Фегина Ñ. Å., Эмм Ì. Ñ., Юрьев À. Â.
Безопасность карточного бизнеса : бизнес-энциклопедия / А.К.АлекБ40
санов,
И. А. Демчев, А. М. Доронин [и др.].—М.:Московская финансово-промышленная
àêàäåìèÿ; ÖÈÏÑèÐ, 2012.—432 ñ. (Библиотека
ЦентраИсследований Платежных Систем и Расчетов).
ISBN 978-5-4257-0018-6
Агентство CIP РГБ
В книге дано подробное описание политики безопасности на всех этапах жизненного
цикла банковской карты—от цеха, где производится пластиковая заготовка
будущей карты, до торговой и сервисной сферы, где карта принимается
к оплате. Отдельно рассмотрены международные стандарты PSI DSS и практика их
применения. Дана классификация карточных рисков, изложена методика оценки
рисков эмитента с использованием мониторинга карточных транзакций. Подробно
описаны виды карточного мошенничества и методы его профилактики. Отдельные
главы посвящены претензионной работе по операциям с банковскими картами
и обеспечению безопасности процессингового центра. Проанализировано действующее
российское законодательство, изложена судебная практика с подробным
описанием уголовных дел, связанных с карточным мошенничеством, доведенных
до суда. Даны общие рекомендации по информационной безопасности корпоративной
системы банка как фундамента безопасности карточного бизнеса.
Книга ориентирована на сотрудников карточных подразделений, отделов информационной
безопасности коммерческих банков, специалистов процессинговых
центров, правоохранительных органов, занимающихся уголовными делами по карточному
мошенничеству, руководящего персонала супермаркетов, прочих торговых
организаций, студентов финансовых вузов.
УДК [004:336.71](031.021.4)
ББК 65.262ÿ20
ISBN 978-5-4257-0018-6
© Коллектив àâòîðîâ, 2012
© Центр исследований платежных систем и расчетов, 2012
© Московская финансово-промышленная академия, 2012
Стр.2
Предисловие
Введение
Глава 1
МОШЕННИЧЕСТВО В СФЕРЕ БАНКОВСКИХ ПЛАТЕЖНЫХ КАРТ
Обзор банковских рисков от мошенничества с платежными картами и их реквизитами. Практические
меры по минимизации рисков и ущерба от действий мошенников для банков эмитентов
и эквайреров
Виды мошенничества для кредитной организации—эмитента
Виды мошенничества для эквайрера
Иные виды мошенничества
Уголовная ответственность за преступления в сфере банковских карт
Потери в сфере платежных банковских карт
Криминальная деятельность и Уголовный кодекс Российской Федерации
Юридическая квалификация и виды хищений, совершаемых с платежными картами
Понятие, виды и способы совершения хищений в сфере оборота платежных карт
«Êðàæà»—ñò. 158 УК РФ
«Ìîøåííè÷åñòâî»—ñò. 159 УК РФ
«Причинение имущественного ущерба путем обмана или злоупотребления доверием»—
ñò. 165 УК РФ
Предмет и объект данной категории преступлений
Установление потерпевшего
Признаки и содержание объективной стороны
Объективная сторона кражи
Объективная сторона мошенничества
Объективная сторона причинения имущественного ущерба путем обмана
или злоупотребления доверием
Субъект и субъективная сторона хищений, совершаемых в данной сфере
Субъективная сторона кражи
Субъективная сторона мошенничества
Уголовно-правовая характеристика и способы совершения преступлений, связанных с изготовлением
в целях сбыта и сбытом поддельных кредитных или расчетных карт, а также иных платежных
документов
Статья 187 УК РФ
Кредитные, расчетные карты и иные платежные документы как предмет преступного
посягательства
Составляющие объекта и объективной стороны преступления
Сбыт поддельных кредитных либо расчетных карт
13
13
15
27
31
42
42
47
49
49
49
53
54
54
56
57
58
59
62
63
64
65
69
69
70
75
80
ОГЛАВЛЕНИЕ
7
9
Стр.3
4
Оглавление
Определение «иные платежные документы»
Поддельные платежные документы
Изготовление поддельных платежных документов
Субъект и субъективная сторона преступления
Компьютерные преступления в сфере оборота платежных карт
Статьи 272 и 273 УК РФ. Понятие, виды и способы совершения преступлений
Предмет и объект преступлений
Признаки и содержание объективной стороны
Субъект и субъективная сторона
«Банковская òàéíà»—ñò. 183 УК РФ
Конфликт интересов дознания и следствия
Применение статьи 187 УК РФ
Применение статей 158 и 159 УК РФ
Глава 2
МЕЖДУНАРОДНЫЕ СТАНДАРТЫ БЕЗОПАСНОСТИ
Стандарты международных платежных систем: PCI DSS и смежные стандарты
Стандарт PCI DSS
Применение компенсационных мер
Прочие стандарты PCI
PCI DSS и российская действительность
PCI DSS и реальная безопасность платежной системы банковских карт
Безопасность платежных карт—два пути
PCI DSSaáåçîïàñíîñòü платежных êàðò?
Недостатки и противоречия PCI DSS
Глава 3
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ КАРТОЧНОГО БИЗНЕСА
Оценка рисков эмитента в платежной системе банковских карт с использованием мониторинга
транзакций
Платежные карты и риски банка
Мошенничество с банковскими картами и риски эмитента
Постановка задачи мониторинга транзакций
Классификация СМТ
Мониторинг транзакций эмитентом
Проблема принятия решений при мониторинге
172
172
172
175
177
180
182
185
81
83
85
88
89
89
93
96
97
99
Анализ уголовного законодательства применительно к преступлениям с банковскими картами 100
Общественная опасность
100
101
103
110
122
122
122
138
152
154
158
160
161
164
Стр.4
Оглавление
Особенности мониторинга некоторых операций
Подходы к оценке рисков
Оценка рисков в ПСБК
ERD-диаграмма базы данных мошеннических операций
Расчет рисков
Примеры мониторинга операций
Основные направления обеспечения информационной безопасности корпоративной системы
как фундамента безопасности карточного бизнеса
Основные принципы защиты рабочих станций сотрудников банка
Использование SIEM и сканера безопасности в организации и как это упрощает жизнь
Немного о ПО для взломов и защите
Реальная безопасность вместо бумажной
Доклиентский цикл и его безопасность
Производство заготовок, доставка в банк и хранение
Безопасность центра персонализации
Глава 4
ПРЕТЕНЗИОННАЯ РАБОТА В БАНКЕ
Общие положения
Расчетный цикл операций по банковским картам
Оформление претензий клиентов
Структура ARN (ARD, acquirer reference data)
Основные этапы претензионного цикла
Работа с сопроводительными документами
Временные диапазоны претензионного цикла
Non-compliance и Pre-Compliance. Good Faith Letter
Ежедневные процедуры претензионного цикла
Глава 5
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПРОЦЕССИНГОВОГО ЦЕНТРА
Физическая безопасность бюро персонализации
Определение внешнего периметра
Требования к зданию БП
Процедуры доступа в помещения БП
Помещение приема/передачи (goods/tools trap, GTT)
Описание процедуры приема/передачи карт
Требования к производственным помещениям (HSZ) БП
Понятие и описание шлюза
252
252
252
254
255
257
259
260
262
237
237
238
240
242
243
245
247
249
250
187
189
190
198
205
211
216
216
220
226
228
229
231
235
5
Стр.5
6
Оглавление
Требования к помещениям персонализации и распечатки ПИН-конвертов
Серверная (комната генерации ключей)
Хранилище БП
Помещение для уничтожения карт и прочих материалов
Запасный выход, датчики, освещение, контроль периметра
Камеры наблюдения и видеозапись
Комната охраны (мониторная, SCR)
Тревожные кнопки (duress buttons)
Безопасность аппаратной и сетевой инфраструктуры
Общие вопросы организации сетевой безопасности
Сетевой уровень безопасности
Пользовательский уровень безопасности
Безопасность уровня приложений
Инновационные решения в области обеспечения безопасности ПЦ
ПРИЛОЖЕНИЯ
Приложение 1
СУДЕБНО-СЛЕДСТВЕННАЯ ПРАКТИКА
Уголовное äåëî¹7013396 от 11 октября 2007 ã., Астрахань. Эквайринг ТСП
Уголовное äåëî¹044162 от 11 марта 2008 ã., Ìîñêâà. Эквайринг ТСП
Уголовное дело¹152830, Екатеринбург. Скимминговые накладки
Уголовное äåëî¹772270 от 8 июля 2008 ã., Càíêò-Ïåòåðáóðã. Вредоносное ПО Diebold
(Вредоносное программное обеспечение на банкоматах)
Уголовное äåëî¹50570 от 31 августа 2007 ã., Éîøêàð-Îëà. Эквайринг АТМ
Уголовное äåëî¹248100, Ñàíêò-Ïåòåðáóðã. Фабрика «Leroy»
Приложение 2
ТИПОВАЯ МЕТОДИКА ИССЛЕДОВАНИЯ ИНФОРМАЦИИ,
НАХОДЯЩЕЙСЯ НА МАГНИТНОЙ ПОЛОСЕ ПЛАТЕЖНЫХ КАРТ
Экспертная задача
Объекты исследования
Сущность методики
Формулирование выводов
Литература
Участники проекта «Безопасность карточного бизнеса». Бизнес-энциклопедия
286
286
315
327
342
358
391
263
264
264
266
267
267
268
271
272
272
276
278
280
283
415
415
415
421
423
426
429
Стр.6