Новости
Основні правила, які варто дотримувати покупцеві
- Ніколи нікому не повідомляйте ваш пароль, включаючи співробітників платіжних систем.
- Перевіряйте, що з'єднання дійсно відбувається в захищеному режимі SSL - в правому нижньому кутку вашого браузера повинен бути видно значок закритого замка;
- Перевіряйте, що з'єднання встановлено саме з адресою платіжної системи або інтернет-банку;
- Ніколи не зберігайте інформацію про вашому паролі на будь-яких носіях, в тому числі і на комп'ютері. Якщо у вас виникли підозри, що будь-хто отримав доступ до вашого особистого кабінету, змініть пароль або заблокуйте ваш рахунок / аккаунт;
- Після закінчення роботи обов'язково натискайте кнопку Вихід;
- Переконайтеся, що комп'ютер не вражений будь-якими вірусами. Встановіть і активізуйте антивірусні програми. Намагайтеся їх постійно оновлювати, так як дія вірусів може бути направлено на передачу третім особам інформації про вашому паролі;
- Використовуйте програмне забезпечення з перевірених і надійних джерел, виконуйте регулярні оновлення.
Статистика
За статистикою, найчастіше піддаються атакам наступні системи: термінали (32%), сервера баз даних (30%), сервери додатків (12%), веб-сервери (10%). На робочі станції, сервери аутентифікації, сервери резервного копіювання, файлові сховища та інше доводиться тільки 10%. З даної статистики наочно видно актуальність безпеки саме сайтів і додатків, так як через їх уразливості найчастіше стає можливим отримання доступу до даних.
Безпечні / зашифровані інтернет-з'єднання
- В даний час наявність SSL сертифікату на сайті не є достатньою умовою для безпечного проведення інтернет-платежів. Тільки комплексний підхід, сертифікований за сучасними міжнародними стандартами, дозволяє говорити про те, що безпека обробки інтернет-платежів забезпечується на найвищому рівні.
клієнтська захист
- Логін / пароль доступу для входу в систему, який проходить тестування на складність;
- Комбінація номера банківської картки, терміну дії, імені власника картки, CVV / CVC кодів;
- можливість створення віртуальної карти , Дублюючої основну, для проведення інтернет-платежів;
технічний захист
- Прив'язка платіжного сервісу до фіксованого IP-адресою і телефонним номером клієнта;
- Здійснення клієнтського доступу в систему по зашифрованому протоколу HTTPS / SSL;
- Можливість використання віртуальної клавіатури для набору даних ідентифікації (протидія перехоплення особистих даних);
- Поділ каналів формування транзакцій і каналу авторизації транзакцій:
- авторизація транзакцій здійснюється через спеціальний код, який при здійсненні платежу клієнт отримує від системи на свій мобільний телефон SMS (випадкова комбінація букв і цифр, що діє тільки протягом декількох хвилин).
Захист пластикових карт
Зловмисники найчастіше намагаються отримати доступ до карткових даними . У звітах досліджень фахівців в області платіжної безпеки - компаній Verizon і Trustwave вказується статистика: в 85-ти і 98-ми випадків з 100 відповідно, метою атаки були саме карткові дані .
Сертифікація платіжних систем
Сертифікація сервіс-провайдерів і власників бізнесу (Мерчант) з кількістю транзакцій більше 6 млн. В рік підлягає сертифікації Qualified Security Assessor (QSA), які в Росії видаються компаніями IBM , NVision Group , Deiteriy , Digital Security , TrustWave , ЕВРААС ІТ , Информзащита , Інфосистеми Джет , Крок Інкорпорейтед .
- Сертифікат відповідності стандарту Payment Card Industry Data Security Standard (PCI DSS);
- Сертифікат безпеки на відповідність міжнародним вимогам до менеджменту інформаційної безпеки в сфері розробки, впровадження та супроводу програмних засобів ISO / IEC 27001: 2005;
- Використання електронно-цифрового підпису (ЕЦП);
- Ліцензії на право здійснення діяльності з надання, технічного обслуговування, поширенню шифрувальних (криптографічних) коштів.
Починаючи з 1 липня 2012 року використання несертифікованих додатків компаніями, що потрапляють під дію стандарту PCI DSS, буде заборонено.
PCI DSS стандарт захисту інформації в індустрії платіжних карт був розроблений міжнародними платіжними системами Visa та MasterCard і являє собою сукупність 12 деталізованих вимог щодо забезпечення безпеки даних про власників платіжних карт, які передаються, зберігаються і обробляються в інформаційних інфраструктурах організацій. Ухвалення відповідних заходів щодо забезпечення відповідності вимогам стандарту на увазі комплексний підхід до забезпечення інформаційної безпеки даних платіжних карт.
Уразливі місця і способи захисту
З точки зору інформаційної безпеки в системах електронних платежів існують такі вразливі місця:
- Пересилання платіжних та інших повідомлень між банком і клієнтом і між банками;
- Обробка інформації всередині організацій відправника і одержувача повідомлень;
- Доступ клієнтів до засобів, акумульованих на рахунках.
- Одним з найбільш вразливих місць в системі електронних платежів є пересилання платіжних та інших повідомлень між банками, між банком і банкоматом, між банком і клієнтом.
Захист при пересиланні платіжних повідомлень:
- Внутрішні системи організацій відправника і одержувача повинні бути пристосовані для відправки та отримання електронних документів і забезпечувати необхідний захист при їх обробці всередині організації (захист кінцевих систем);
- Взаємодія відправника і одержувача електронного документа здійснюється опосередковано - через канал зв'язку.
Проблеми, які вирішуються при організації захисту платежів:
- взаємне пізнання абонентів (проблема встановлення взаємної автентичності при встановленні з'єднання);
- захист електронних документів, переданих по каналах зв'язку (проблеми забезпечення конфіденційності і цілісності документів);
- захист процесу обміну електронними документами (проблема докази відправлення і доставки документа);
- забезпечення виконання документа (проблема взаємної недовіри між відправником і отримувачем через їхню приналежність до різних організацій і взаємної незалежності).
Забезпечення безпеки платіжних систем
Для забезпечення функцій захисту інформації на окремих вузлах системи електронних платежів повинні бути реалізовані наступні механізми захисту:
- управління доступом на кінцевих системах;
- контроль цілісності повідомлення;
- забезпечення конфіденційності повідомлення;
- взаємна аутентифікація абонентів;
- неможливість відмови від авторства повідомлення;
- гарантії доставки повідомлення;
- неможливість відмови від прийняття заходів по повідомленню;
- реєстрація послідовності повідомлень;
- контроль цілісності послідовності повідомлень.
Якість вирішення зазначених вище проблем в значній мірі визначається раціональним вибором криптографічних засобів при реалізації механізмів захисту.
Платіжна система - це система взаємодії учасників
З організаційної точки зору ядром платіжної системи є асоціація банків, об'єднана договірними зобов'язаннями. Крім того, до складу електронної платіжної системи входять підприємства торгівлі та сервісу, що утворюють мережу точок обслуговування. Для успішного функціонування платіжної системи необхідні і спеціалізовані організації, що здійснюють технічну підтримку обслуговування карток: процесингові та комунікаційні центри, центри технічного обслуговування і т.п.