* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки
j g » Ц е н т р исследований п л а т е ж н ы х систем в | У ^ и расчетов
Оценка рисков эмитента в платежной системе банковских карт |
197
анализа 400 инцидентов, связанных с компрометацией данных платеж ных карт. Основные результаты исследования: • большинство инцидентов (9 из 10) связаны с небольшими ТСП; • только 69% атак было осуществлено с присутствием карты, т. е. 3 1 % — без присутствия карты; • наиболее атакуемым звеном технологии является ПО торгового терминала (67%), далее следуют атаки на интернет-магазины (25%). Из сказанного можно сделать несколько важных выводов: • возможна компрометация данных банковских карт после проведе¬ ния легальных операций в интернет-магазинах из-за хранения этих данных в автоматизированных системах этих магазинов; • если интернет-магазин и банк-эквайрер поддерживают безопасный протокол 3D Secure, то ответственность за мошенническую опера¬ цию, как правило, лежит на эмитенте. Определим
РмоШ = P (кпр)-Р (исп|кпр)-P (поп|кпр• и с п ) - ( 1 - P ( о б н ) ) , (11) где РмоШ — вероятность совершения мошеннической операции без при¬
бпк бпк бпк бпк
сутствия карты; Р ( к п р ) — вероятность компрометации данных для проведения мошеннических операций без присутствия карты (номер карты, срок действия, CVC2/CVV2); Р (исп|кпр) — вероятность использования скомпрометированных данных для проведения мошеннических операций; Р (поп|кпр• исп) — вероятность принятия данных для проведения операции без присутствия карты; Р ( о б н ) — вероятность обнаружения несанкционированной опера¬ ции эмитентом.
бпк бпк бпк бпк
Из формул (3) и (11) следует, что риск по операциям с отсутствием карты: SFR
б п к
= Р ( к п р ) - Р ( и с п | к п р ) - Р ( п о п | к п р • исп)х х(1-Р
бпк
бпк
бпк
бпк
( )
1 2
(обн))-S с ™ ,
где
доступные средства на счете клиента для проведения опера¬ ций без присутствия карты.
Sсум—
