Новости

Безпека електронних платежів

Основні правила, які варто дотримувати покупцеві

  1. Ніколи нікому не повідомляйте ваш пароль, включаючи співробітників платіжних систем.
  2. Перевіряйте, що з'єднання дійсно відбувається в захищеному режимі SSL - в правому нижньому кутку вашого браузера повинен бути видно значок закритого замка;
  3. Перевіряйте, що з'єднання встановлено саме з адресою платіжної системи або інтернет-банку;
  4. Ніколи не зберігайте інформацію про вашому паролі на будь-яких носіях, в тому числі і на комп'ютері. Якщо у вас виникли підозри, що будь-хто отримав доступ до вашого особистого кабінету, змініть пароль або заблокуйте ваш рахунок / аккаунт;
  5. Після закінчення роботи обов'язково натискайте кнопку Вихід;
  6. Переконайтеся, що комп'ютер не вражений будь-якими вірусами. Встановіть і активізуйте антивірусні програми. Намагайтеся їх постійно оновлювати, так як дія вірусів може бути направлено на передачу третім особам інформації про вашому паролі;
  7. Використовуйте програмне забезпечення з перевірених і надійних джерел, виконуйте регулярні оновлення.

Статистика
За статистикою, найчастіше піддаються атакам наступні системи: термінали (32%), сервера баз даних (30%), сервери додатків (12%), веб-сервери (10%). На робочі станції, сервери аутентифікації, сервери резервного копіювання, файлові сховища та інше доводиться тільки 10%. З даної статистики наочно видно актуальність безпеки саме сайтів і додатків, так як через їх уразливості найчастіше стає можливим отримання доступу до даних.

Безпечні / зашифровані інтернет-з'єднання Безпечні / зашифровані інтернет-з'єднання

  • В даний час наявність SSL сертифікату на сайті не є достатньою умовою для безпечного проведення інтернет-платежів. Тільки комплексний підхід, сертифікований за сучасними міжнародними стандартами, дозволяє говорити про те, що безпека обробки інтернет-платежів забезпечується на найвищому рівні.

клієнтська захист

  • Логін / пароль доступу для входу в систему, який проходить тестування на складність;
  • Комбінація номера банківської картки, терміну дії, імені власника картки, CVV / CVC кодів;
  • можливість створення віртуальної карти , Дублюючої основну, для проведення інтернет-платежів;

технічний захист

  • Прив'язка платіжного сервісу до фіксованого IP-адресою і телефонним номером клієнта;
  • Здійснення клієнтського доступу в систему по зашифрованому протоколу HTTPS / SSL;
  • Можливість використання віртуальної клавіатури для набору даних ідентифікації (протидія перехоплення особистих даних);
  • Поділ каналів формування транзакцій і каналу авторизації транзакцій:
    • авторизація транзакцій здійснюється через спеціальний код, який при здійсненні платежу клієнт отримує від системи на свій мобільний телефон SMS (випадкова комбінація букв і цифр, що діє тільки протягом декількох хвилин).

Захист пластикових карт
Зловмисники найчастіше намагаються отримати доступ до карткових даними . У звітах досліджень фахівців в області платіжної безпеки - компаній Verizon і Trustwave вказується статистика: в 85-ти і 98-ми випадків з 100 відповідно, метою атаки були саме карткові дані .

Сертифікація платіжних систем
Сертифікація платіжних систем   Сертифікація сервіс-провайдерів і власників бізнесу (Мерчант) з кількістю транзакцій більше 6 млн Сертифікація сервіс-провайдерів і власників бізнесу (Мерчант) з кількістю транзакцій більше 6 млн. В рік підлягає сертифікації Qualified Security Assessor (QSA), які в Росії видаються компаніями IBM , NVision Group , Deiteriy , Digital Security , TrustWave , ЕВРААС ІТ , Информзащита , Інфосистеми Джет , Крок Інкорпорейтед .

  1. Сертифікат відповідності стандарту Payment Card Industry Data Security Standard (PCI DSS);
  2. Сертифікат безпеки на відповідність міжнародним вимогам до менеджменту інформаційної безпеки в сфері розробки, впровадження та супроводу програмних засобів ISO / IEC 27001: 2005;
  3. Використання електронно-цифрового підпису (ЕЦП);
  4. Ліцензії на право здійснення діяльності з надання, технічного обслуговування, поширенню шифрувальних (криптографічних) коштів.

Починаючи з 1 липня 2012 року використання несертифікованих додатків компаніями, що потрапляють під дію стандарту PCI DSS, буде заборонено.
PCI DSS стандарт захисту інформації в індустрії платіжних карт був розроблений міжнародними платіжними системами Visa та MasterCard і являє собою сукупність 12 деталізованих вимог щодо забезпечення безпеки даних про власників платіжних карт, які передаються, зберігаються і обробляються в інформаційних інфраструктурах організацій. Ухвалення відповідних заходів щодо забезпечення відповідності вимогам стандарту на увазі комплексний підхід до забезпечення інформаційної безпеки даних платіжних карт.

Уразливі місця і способи захисту
З точки зору інформаційної безпеки в системах електронних платежів існують такі вразливі місця:

  1. Пересилання платіжних та інших повідомлень між банком і клієнтом і між банками;
  2. Обробка інформації всередині організацій відправника і одержувача повідомлень;
  3. Доступ клієнтів до засобів, акумульованих на рахунках.
  4. Одним з найбільш вразливих місць в системі електронних платежів є пересилання платіжних та інших повідомлень між банками, між банком і банкоматом, між банком і клієнтом.

Захист при пересиланні платіжних повідомлень:

  1. Внутрішні системи організацій відправника і одержувача повинні бути пристосовані для відправки та отримання електронних документів і забезпечувати необхідний захист при їх обробці всередині організації (захист кінцевих систем);
  2. Взаємодія відправника і одержувача електронного документа здійснюється опосередковано - через канал зв'язку.

Проблеми, які вирішуються при організації захисту платежів:

  • взаємне пізнання абонентів (проблема встановлення взаємної автентичності при встановленні з'єднання);
  • захист електронних документів, переданих по каналах зв'язку (проблеми забезпечення конфіденційності і цілісності документів);
  • захист процесу обміну електронними документами (проблема докази відправлення і доставки документа);
  • забезпечення виконання документа (проблема взаємної недовіри між відправником і отримувачем через їхню приналежність до різних організацій і взаємної незалежності).

Забезпечення безпеки платіжних систем
Для забезпечення функцій захисту інформації на окремих вузлах системи електронних платежів повинні бути реалізовані наступні механізми захисту:

  • управління доступом на кінцевих системах;
  • контроль цілісності повідомлення;
  • забезпечення конфіденційності повідомлення;
  • взаємна аутентифікація абонентів;
  • неможливість відмови від авторства повідомлення;
  • гарантії доставки повідомлення;
  • неможливість відмови від прийняття заходів по повідомленню;
  • реєстрація послідовності повідомлень;
  • контроль цілісності послідовності повідомлень.

Якість вирішення зазначених вище проблем в значній мірі визначається раціональним вибором криптографічних засобів при реалізації механізмів захисту.

Платіжна система - це система взаємодії учасників
З організаційної точки зору ядром платіжної системи є асоціація банків, об'єднана договірними зобов'язаннями. Крім того, до складу електронної платіжної системи входять підприємства торгівлі та сервісу, що утворюють мережу точок обслуговування. Для успішного функціонування платіжної системи необхідні і спеціалізовані організації, що здійснюють технічну підтримку обслуговування карток: процесингові та комунікаційні центри, центри технічного обслуговування і т.п.

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация: