167

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 151-200

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

Ц е н т р исследований п л а т е ж н ы х систем и расчетов PCI DSS и реальная безопасность платежной системы банковских карт 167 ности карты CVV2/CVC2 — эти данные могут быть достаточно легко скомпрометированы. Учитывая перенос ответственности за несанкцио¬ нированные держателями платежных карт операции, эквайреры повсе¬ местно применяют более защищенную технологию 3D Secure, где пере¬ численных выше данных будет уже недостаточно. Но проблема заклю¬ чается в трудности привлечения держателей карт для использования данной технологии даже в случае сертификации банка эмитента как 3D Secure. Во-первых, предлагаемые платежными системами методы Veri¬ fied by VISA — Token Based Authentication и Secure Code — Chip Authenti cation Program не нашли в настоящий момент широкого распростране¬ ния среди держателей, так как требуют от последних дополнительных затрат на приобретение оборудования, необходимости посещения банка, затрат на обучение. Во-вторых, если интернет-операция проводится ме¬ жду эквайрером, поддерживающим 3D Secure, и эмитентом, не поддер¬ живающим 3D Secure, либо на 3D Secure, не подписан данный держа¬ тель, то согласно требованиям платежных систем уровень безопасности такой транзакции оказывается даже ниже, чем при классической опера¬ ции. Дело в том, что такая операция может быть осуществлена только по номеру карты и дате ее действия, код проверки подлинности карты CVV2/CVC2 эквайрером может не запрашиваться. При этом, как прави¬ ло, эмитент проверяет, что введенная дата действия карты больше теку¬ щей и в базе данных эмитента срок действия карты не закончился. А для обеспечения возможности работы двух карт одновременно при плано¬ вом перевыпуске не сравниваются даты из базы данных и транзакции. Таким образом, для осуществления успешной мошеннической операции необязательно даже знать срок действия карты — достаточно, чтобы он был больше текущей даты. То есть при реализации транзакции с под¬ держкой 3D Secure только со стороны эквайрера необходимо знать толь¬ ко номер карты и интернет-потери возрастают! Для обеспечения уровня безопасности при таких операциях, равного стандартному, эквайреру не¬ обходимо запрашивать код CVV2/CVC2. Для решения проблемы неже¬ лания держателей подписываться на технологию 3D Secure для допол¬ нительной аутентификации держателей, вероятно, нужно использовать технологию мобильной связи как наиболее распространенную и доступ¬ ную клиентам.