Рядовая сценка из повседневной жизни — кассир супермаркета, принимая банковскую карту к оплате, возвращает ее клиенту, даже не взглянув на подпись на чеке электронного терминала и не сверив ее с подписью на обратной стороне карты. Самое большее, на что хватает усердия и внимания кассового работника магазина, как правило, — проверить дату окончания действия карты. И это только один пример — из торговой сферы, где низкая квалификация кассовых работников, связанная отчасти с высокой текучестью кадров, отчасти — с недостаточным пониманием важности проблемы со стороны руководства — не исключение, а скорее правило. А сколько аналогичных случаев в других сферах, на других этапах сложной технологической и организационной цепочки, которые проходит карточка от производственного цеха до кошелька клиента банка? И даже когда карточка уже дошла до кошелька своего законного держателя, риски не уменьшаются — скорее наоборот. Банковские специалисты знают об одном извечном феномене — сколько ни повторяй клиентам — держателям карт, сколько ни пиши в буклетах, что нельзя в одном кошельке носить карточку и ПИН-код, а тем более записывать его на карточке — клиенты продолжают это делать.
Человеческий фактор, увы, способен свести на нет достижения самых современных технологий, усилия многих и многих высококвалифицированных специалистов — производителей карт, которые делают заготовки из высококачественного пластика со специальными защитными элементами (редкий кассир торгового предприятия способен оценить качество пластика, знает защитные элементы); методологические разработки специальных структур МПС, разрабатывающих стандарты безопасности по операциям с картами; усилия законодателей и представителей правоохранительных органов. Спрашивается, для чего тогда нужны качественный пластик, надежные технологии, международные стандарты, адекватное законодательство?
Есть очевидная аксиома, известная специалистам по управлению рисками в любом бизнесе, — свести риски к нулю нельзя, но минимизировать — можно и нужно. Это, безусловно, относится и к карточной сфере. Для минимизации рисков и существуют технологии, стандарты, законы и многое другое — все то, чему посвящена эта книга.
Современный карточный бизнес существует в очень агрессивной внешней среде. Особенность пластиковой карточки как банковского инструмента удаленного доступа к счету клиента, причем настолько эффективного, что границы между государствами перестали иметь значение, привела к международному размаху карточного мошенничества. Первый раздел книги посвящен его видам (скиммингу, фишингу и т. д.), рискам и угрозам для банка (эмитента и эквайрера), которые влечет за собой мошенническая активность, возможностям предупреждения и противодействия, способам минимизации рисков. В обзоре обобщены и систематизированы наработки ведущих международных платежных систем, российских и иностранных кредитных организаций, практикующих экспертов в области борьбы с карточным мошенничеством.
Как известно, ничто так не поощряет преступника, как безнаказанность. На российском правовом поле у представителей правоохранительных органов множество проблем, связанных с несовершенством существующего законодательства, сложности квалификации заведенных уголовных дел по статьям УК в сфере применения платежных карт. И в следующей главе бизнес-энциклопедии все это пунктуально проанализировано. Принципиальная сложность квалификации карточных преступлений заключается в пересечении здесь сразу трех областей знания — уголовного права, гражданского права и специфики карточных технологий. Все вместе это приводит к тому, что уголовное преследование карточных мошенников, даже «пойманных за руку», — достаточно сложная задача. И вместе с тем ее решение возможно, чему свидетельство — дела, дошедшие до суда, и реальные сроки, полученные мошенниками, о которых рассказывается в разделе Приложений.
Особняком, на стыке правового поля и технологий, стоят стандарты международных платежных систем, наиболее известные из которых обозначаются аббревиатурой PCI DSS, — они анализируются в специальном разделе книги. Данные стандарты носят обязательный характер для исполнения банками — членами платежных систем, но отношение к ним, и в России, и в мире не однозначное. Позиция многих российских банков основывается на здравом смысле — если стоимость следования стандартам превышает размер возможных потерь, это делает стандарты нецелесообразными. Позиция аудиторов тоже имеет свои серьезные основания — стандарты МПС существуют, и банкам, как членам МПС, следует их исполнять, а в какой степени — зависит от масштаба бизнеса. Обе точки зрения аргументированно представлены в книге.
Мониторингу транзакций по платежным картам посвящена следующая глава, в которой, в числе прочего, формулируются задачи мониторинга, дается классификация средств мониторинга транзакций, дается первичный математический аппарат для количественной оценки рисков, основные понятия (инцидент, расследование и др.), примеры мониторинга транзакций.
Комплексный подход к проблеме обеспечения безопасности карточного бизнеса можно считать определяющей составляющей успеха дела. Нельзя забывать, что карточная безопасность в банке является элементом безопасности информационной системы банка в целом. В следующем разделе книги даются основные моменты, на которые следует обратить внимание при построении центра информационной безопасности банка, и, в частности, описывается применение специальных систем контроля защищенности класса SIEM.
Серьезная задача — физическая безопасность производства пластиковых заготовок. В специальной главе книги рассказывается о внешних и внутренних стандартах безопасности производственных помещений, о порядке производства и доставки в банк заготовок в соответствии со стандартами безопасности международных платежных систем.
Отдельное и очень специфическое направление безопасности карточного бизнеса банка — претензионная работа по опротестованным держателями карт операциям. В разделе, посвященном данному вопросу, не дается рекомендаций по деталям претензионного процесса — например, какой код возврата следует выбрать по конкретной операции. Такие специальные сведения даются в соответствующих материалах платежных систем. В ней максимально компетентно описываются основные аспекты претензионной работы, даются рекомендации, как правильно построить работу подразделения, отвечающего за претензионный цикл в современном коммерческом банке.
И, наконец, безопасность процессинга — мозгового центра (точнее — одного из многочисленных центров) любой платежной системы. Это один из важнейших участков карточной безопасности и ему посвящены два материала книги, один из которых рассматривает вопросы физической безопасности ПЦ, а другой — безопасность его аппаратной и сетевой инфраструктуры.
Очевидно, что обеспечение безопасности карточного бизнеса — проблема, которую невозможно решить раз и навсегда, ее необходимо решать изо дня в день, причем на очень высоком и профессиональном уровне. Это непрерывный процесс со своими индикаторами эффективности и стандартами, управленческими и технологическими проблемами и задачами, налаживанию которого и призвана помочь эта книга.
Г. А. Тосунян
Президент Ассоциации российских банков, д-р юрид. наук, профессор, заведующий кафедрой банковского права Российской академии народного хозяйства и государственной службы при Президенте Российской Федерации