166

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 151-200

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

166 Глава 2. Международные стандарты безопасности любым участником платежной системы после проведения авторизации запрещено. Таким образом, похитить CVV/CVC при хранении нельзя, так как эти данные просто нигде не должны храниться. С помощью фишинга данный код получить невозможно, поскольку держатель его не знает. При использовании злоумышленником техники перебора всех возможных вариантов кода (три цифры дают 1000 вариантов) современ¬ ный уровень систем мониторинга транзакций в режиме реального или псевдореального времени позволяет выявить данную атаку на ранней стадии и заблокировать карту. В случае же если эмитент записывает на магнитную полосу карты и код проверки подлинности ПИН (PVV), состоящий из четырех цифр (10 000 вариантов), то задача по подбору злоумышленником кодов безопасности становится существенно более трудоемкой (подобрать нужно комбинацию из семи цифр — 10 000 000 ва риантов). Дополнительно необходимо отметить, что с учетом темпов EMV-миграции как со стороны эмиссии, так и со стороны эквайринга, особенно в Европе, и с отменой возможности проведения операции по микропроцессорной EMV-карте в EMV-терминале по магнитной полосе вероятность финансовых потерь в случае компрометации трека снижа¬ ется с каждым годом. Смещение таких мошеннических операций в ми¬ ровом масштабе происходит в регионы, где EMV-миграция не начина¬ лась или проходит неактивно. Второй сферой технологии платежных карт, где несанкционированно может быть использован похищенный номер карты, является интернеткоммерция. Действительно, в последнее время в данной области потери во всем мире стремительно возрастают. Сократить их должна безопас¬ ная технология проведения платежей 3D Secure, которая предусматрива¬ ет дополнительную аутентификацию держателя со стороны эмитента. При реализации данной схемы (как со стороны эмитента, так и со сто¬ роны эквайрера) знание злоумышленником только номера платежной карты становится недостаточным. Следовательно, для минимизации по¬ терь необходимо дальнейшее развитие технологии 3D Secure, особенно со стороны эмитентов. Однако в данном вопросе необходимо отметить следующие аспекты. Если интернет-транзакция проводится по традици¬ онной схеме, без использования технологии 3D Secure, то для авториза¬ ции необходим номер карты, срок ее действия и код проверки подлин-