165

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 151-200

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

Ц е н т р исследований п л а т е ж н ы х систем и расчетов PCI DSS и реальная безопасность платежной системы банковских карт 165 1. Попытка сокрытия идентификатора (номера карты) принци пиально невыполнима. Безопасность доступа к счету карты не основы¬ вается на сокрытии идентификатора, а должна находиться в области усовершенствования процедур и средств аутентификации. Стандарт предназначен для тех организаций и процессов, в которых номер карты передается, обрабатывается или хранится. Номер карты предназначен для обеспечения соответствия счету держателя карты, т. е. является его идентификатором. Безопасность такого доступа обеспечи¬ вается процедурами аутентификации держателя карты, которые должны препятствовать несанкционированному доступу к счету. Логично пред¬ положить, что для обеспечения безопасности доступа к счету при на¬ личии фактов несанкционированного использования карты как инст¬ румента доступа необходимо усовершенствовать процедуры аутенти¬ фикации. Такое усовершенствование может включать в себя внедрение механизмов многофакторной аутентификации, например Chip&PIN, CAP-EMV. Однако Стандарт предполагает сокрытие идентификатора (но¬ мера карты) как обязательное условие обеспечения безопасности досту¬ па. Очевидно, что принципиально невозможно отказаться от полного сокрытия идентификатора — для проведения транзакции по карте но¬ мер необходим, так как является идентификатором счета держателя карты. Рассмотрим возможные действия злоумышленника, имеющего дос¬ туп к данным карты или ее реквизитам. Для проведения операции с ре¬ альной (физически существующей) картой необходима информация, за¬ писанная в чип (для микропроцессорных карт) либо на магнитную по¬ лосу. Знания только номера карты явно недостаточно, чтобы изготовить поддельную микропроцессорную карту. Для осуществления операции с использованием магнитной полосы кроме номера карты злоумышлен¬ нику дополнительно необходимо получить дату действия карты, код проверки подлинности карты (CVV/CVC) и сервис-код, который у ана¬ логичных типов карт обычно одинаковый. Дату действия карты полу¬ чить достаточно просто — путем хищения из того же источника, где был похищен сам номер карты, от держателя карты с использованием тех¬ нологий фишинга, перебором. Код CVV/CVC получить гораздо слож¬ нее — он записан на магнитной полосе карты, хранение данных которой