Текст книги "Мошенничество в платежной сфере. Бизнес-энциклопедия"
Автор книги: авторов Коллектив
Жанры:
Личные финансы
,сообщить о нарушении
Текущая страница: 17 (всего у книги 22 страниц)
5.2. Клиентские процедуры минимизации рисков при использовании платежных карт
Подобно пословице: «Спасение утопающих – дело рук самих утопающих», наиболее эффективным способом защиты от мошенничества является правильное использование карты клиентом. Применение клиентами нескольких простых правил при обращении с платежными картами поможет минимизировать риски от наиболее распространенных видов мошенничества, информацию о которых необходимо правильно довести до сведения клиентов.
Мошенничество с использованием банкоматов. Держателю карты желательно стараться избегать использования банкоматов, расположенных в пустынных или неохраняемых местах (таблица 5.1). Если держателю карты кажется, что банкомат «подготовлен» мошенниками любым из нижеприведенных способов, целесообразнее снять деньги в другом.
Таблица 5.1. Меры предосторожности при использовании банкоматов
Мошенничество в торговых точках. Держателю карты не следует ее использовать в подозрительных торговых точках, лавках и ларьках (таблица 5.2).
Таблица 5.2. Меры предосторожности при оплоте картой покупок в торговых точках
Мошенничество в сети Интернет. Для защиты от него необходимо соблюдать меры безопасности, приведенные в таблице 5.3.
Таблица 5.3. Меры предосторожности при оплоте картой покупок в Интернете
Мошенничество под видом работников банка. Представим такую ситуацию. Вам звонят по телефону мошенники под видом работников банка и начинают подробно расспрашивать о реквизитах вашей карты, ПИН-коде, логине и пароле в системе интернет-банк. В таком случае действуйте следующим образом. Спросите Ф.И.О. «сотрудника», разговаривающего с вами. Убедитесь в том, что сотрудник знает номер карты, срок действия, остаток на карте, места ее использования. Если собеседник пытается узнать у вас данные карты, перезвоните в службу клиентской поддержки.
Утеря карты. Если карта утеряна или украдена – необходимо немедленно позвонить в службу клиентской поддержки банка-эмитента. Для того чтобы заблокировать карту, необходимо сообщить оператору службы номер и срок действия карты и, возможно, ответить на его вопросы. Кроме того, желательно уточнить фамилию, имя и отчество оператора, принявшего сообщение. Если держатель карты находится за границей и не может сообщить об утере карты в свой банк, можно обратиться в сервисные центры платежных систем.
Глава 6
Исследование опыта и осведомленности населения по мошенничеству в сфере платежных карт
6.1. Методология исследования
Для анализа потребительского поведения пользователей банковских пластиковых карт были использованы следующие методы исследований:
– всероссийский репрезентативный опрос населения. Объем выборки составил 1600 человек в возрасте от 18 лет в 150 населенных пунктах 40 субъектов Российской Федерации;
– онлайн-опрос активных пользователей финансовых услуг, сталкивавшихся с фактом мошенничества по банковским картам. Объем выборки составил 133 человека – участников интернет-панели в городах с населением от 1 млн человек.
6.2. Привычки пользования банковскими картами у населения РФ
По результатам исследований Национального агентства финансовых исследований, более половины взрослого населения России являются владельцами банковских карт (58 %), при этом доля таких россиян выше среди активных интернет-пользователей (73 % против 34 % в группе непользователей).
Реже всего банковскими картами владеют пользователи финансовых услуг старшего возраста (среди россиян старше 60 лет таких только 23 %) и сельские жители (48 %), что в первую очередь можно объяснить недостаточно развитой платежной инфраструктурой и низким уровне доступности финансовых услуг в целом, а во вторую – более низкими показателями финансовой грамотности населения. Одним из драйверов пользования банковскими картами можно назвать наличие высшего образования (72 % пользователей карт), так как реже прочих категорий населения оформляют пластиковые карты россияне, имеющие среднее образование (48 %) и ниже (25 %).
Рис. 6.2. Доля владельцев банковских карт (% от взрослого населения России)
Источник: НАФИ. 2013 г.
В то же время необходимо отметить, что Россия все еще остается страной, где правит «культ наличности» – доля активных пользователей карт, использующих их для осуществления безналичных транзакций, а не только для снятия наличных средств, значительно меньше общей доли владельцев «пластика». К примеру, каждый третий (32 %) держатель кредитной карты не совершает расчетных или каких-либо других операций с ее помощью. Безналичные расчеты с помощью карты или других платежных инструментов осуществляет менее половины россиян (47,2 %).
Основной причиной такой низкой активности населения в использовании платежных инструментов может служить особая модель формирования рынка финансовых услуг, сформировавшаяся в России. В то время как локомотивом развития платежной индустрии в таких странах, как США и Канада, являются кредитные карты, а в Европе – дебетовые, в России рынок безналичных инструментов оплаты «прирастает» зарплатными картами. Таким образом, пользователи не участвуют активно в выборе кредитно-финансовой организации, и карточный продукт, по сути, навязывается населению, что сказывается на активности его использования.
Рис. 6.3. Модели развития платежной индустрии в различных странах [113]113
Study published by Accenture back in 2011 «Mobile commerce landscape» Federal Reserve Survey of Consumer Finances, US Census Bureau, Sallie Mae, Com Score, Experian Payment behavior in Germany in 2011. Deutsche Bundesbank.
[Закрыть]
На каждого активного пользователя пластиковых банковских карт, совершающего безналичные расчеты, приходится в среднем два карточных продукта: 84 % таких россиян имеют зарплатную карту, кредитную – 63 %; дебетовую карту, оформленную по собственной инициативе, – 60 %. Подавляющее большинство использует банковскую карту для оплаты покупок и услуг в местах продаж (98 %), снятия наличных (95 %), платежей через банкомат (83 %).
В точках продаж респонденты оплачивают картой чаще всего продукты питания (85 %), одежду и обувь (71 %), электронику и бытовую технику (66 %), медикаменты, косметику (63 %), другие непродовольственные товары (63 %). Среди интернет-покупок, оплачиваемых картой, преобладают мобильная связь (84 %), услуги интернет-провайдера (74 %), услуги ЖКХ (54 %), а также электроника и бытовая техника (51 %). Около половины группы активных пользователей используют банковскую карту для оплаты товаров и услуг в точках продаж почти ежедневно, а для покупок в Интернете – два-три раза в месяц.
Таблица 6.4. Способы использования банковских карт, % от активных пользователей банковских карт (совершают операции по карте не реже одного раза в неделю)
При таком отношении к безналичным платежам и привычках пользования банковскими картами, россияне часто не имеют достаточно опыта и навыков для анализа действий финансовых организаций и третьих лиц с точки зрения влияния на их финансовое благополучие. Отсутствие возможности оценить потенциальные риски приводит к формированию негативных установок к карточным продуктам в целом. Таким образом, страх перед мошенничеством становится одним из наиболее значимых барьеров к пользованию «пластиком» наравне с отсутствием понимания преимуществ безналичных средств оплаты, страхом потери контроля над расходами и недостаточностью платежной инфраструктуры.
6.3. Осведомленность и опыт столкновения с мошенничеством по банковским картам
Большинство опрошенных россиян осведомлены о существовании мошенничества с банковскими картами – 24 % хорошо осведомлены о видах и способах обмана владельцев карт и еще 57 % что-то слышали о данной проблеме.
По итогам всероссийского опроса НАФИ весной 2013 г., 15 % россиян сталкивались с мошенничеством в сфере использования банковских карт, что составляет четверть (26 %) от числа владельцев банковских карт. Большинство пользователей финансовых услуг отмечают по одному эпизоду – 18 % владельцев карт, два случая отмечали 7 %. 1 % пользователей услуг сталкивались с мошенничеством три и более раз.
Рис. 6.4. Доля владельцев банковских карт (% от взрослого населения России)
Источник: НАФИ. 2013 г.
Среди интернет-пользователей, имеющих банковскую карту, с атаками мошенников сталкивались 30 % участников исследования, при этом 87 % интернет-пользователей имеют в своем окружении пострадавших от мошенничества близких знакомых или родственников. В среднем респонденты называют 2,5 эпизода мошенничества с банковскими картами, с которыми они сталкивались лично, и 2,8 – когда жертвами становились их родственники и знакомые.
Анализ распространенности различных видов мошенничества показывает, что чаще всего респонденты сталкивались с так называемой социальной инженерией – мошенническими методами, которые основываются на использовании фактора доверия и человеческих слабостей. Это, в первую очередь, получение SMS с просьбой предоставить номер карты и CVC/CW-код для подтверждения банковской операции (13 % от числа владельцев карт). Далее по распространенности следуют телефонные запросы о коде доступа, личные обращения и обращения по электронной почте с предложениями проведения взаиморасчетов по карте (всего в сумме 10 %). Также распространено воровство после использования банкомата и потеря банковской карты (по 4 % каждый). Интересно, однако, что при этом абсолютное большинство владельцев банковских карт, сталкивавшихся с мошенничеством, выражают уверенность в том, что банковская карта – достаточно безопасный платежный инструмент (85 %).
Таблица 6.5. Виды мошенничество, с которыми сталкивались пользователи финансовых услуг, % от владельцев банковских карт (совершают операции по карте не реже одного раза в неделю)
Необходимо отметить, что, дистанционные операции по банковским картам (на сайтах интернет-магазинов, с помощью интернет-банка или специализированного мобильного приложения) воспринимаются как менее защищенные от мошенничества по сравнению с транзакциями в торговых точках или снятием наличных в банкоматах. Например, по мнению 38 % россиян, осуществление платежей/переводов дистанционно (то есть вне банковского отделения) небезопасно для денежных средств. Подобное отношение часто приводит к тому, что пользователи финансовых продуктов в первую очередь ожидают попыток изъять средства со счета банковской карты именно со стороны интернет-мошенников и менее ответственно относятся к таким видам мошенничества, как shoulder surfing (подсматривание ПИН-кода или реквизитов карты во время ее использования владельцем), скимминг (установка специальных считывающих устройств на банкоматах) и социальной инженерии.
6.4. Стратегии финансового поведения при пользовании банковскими картами и при столкновениях со случаями мошенничества
По результатам исследований НАФИ, в среднем россиянам известно 1,6 способа защиты от мошенничества с банковскими картами. Среди владельцев банковских карт показатель выше – 2,3 варианта, а в группе столкнувшихся с мошенничеством – уже 2,6 варианта, то есть чем более вовлечен респондент в данную тему, тем выше его осведомленность. Наиболее распространенный метод защиты, известный россиянам – защита ПИН-кода при проведении операций в банкомате (30 %), раздельное хранение карты и пароля (26 %), размещение карты отдельно от наличных (23 %), сохранение полной конфиденциальности данных карты (17 %).
В зависимости от числа используемых способов защиты от мошенничества всех пользователей банковских карт можно разделить на три группы. Самая малочисленная группа – те, чьи карты хорошо защищены, – это пользователи, которые используют шесть и более способов защиты банковских карт. Доля клиентов банков, принадлежащих к данной категории, не превышает 7 %. Пользователи, принадлежащие к наиболее многочисленной группе (69 %), обычно имеют средний уровень защиты банковских карт и используют от одного до пяти способов. Основной используемый способ в обеих группах – защита ПИН-кода (51 % от пользователей банковских карт). 24 % имеют низкий уровень защищенности (не используют ни одного), 69 % – средний (от одного до пяти способов) и 7 % – высокий уровень защиты (от шести и более). Почти четверть россиян (24 %) имеют низкий уровень защищенности карт (не используют ни одного способа защиты). Лучше всего защищены карты активных интернет-пользователей банковских карт: почти половину (47 %) можно отнести к группе высокозащищенных. Подавляющее большинство таких владельцев карт предпочитает использование SMS-информирования о проведении операции по карте (82 %), защиту ПИН-кода (80 %) и раздельное хранение карты и кодов доступа (77 %).
Таблица 6.6. Способы защиты, которыми пользуются владельцы банковских карт, % от всех россиян (совершают операции по карте не реже одного раза в неделю)
Рис. 6.5. Доля владельцев банковских карт (% от взрослого населения России)
Источник: НАФИ. 2013 г.
В случае обнаружения факта мошенничества по картам большинство клиентов (86 %) предпочитает обращаться в банк, три четверти респондентов при этом отметили, что там им смогли помочь (75 %). Несмотря на негативные установки по отношению к кредитно-финансовым организациям, распространенные в среди россиян, действия банка респонденты, столкнувшиеся с фактом мошенничества, оценивают в целом позитивно – доля положительных отзывов о профессионализме и коммуникативных навыках сотрудников и организации взаимодействия с клиентом высокая и составляет 54–55 %. Чуть ниже оценки оперативности решения проблемы – 50 % хороших оценок, 16 % плохих.
Восприятие работы банка тесно связано с результатом: теми, кому вернули пропавшие с карты деньги, все параметры работы оцениваются примерно в три раза выше, чем среди не получивших возмещения.
Рис. 6.6. Опыт обращения в различные организации при столкновении с фактом мошенничества (% от активных пользователей банковских карт, сталкивавшихся с фактом мошенничества)
Источник: НАФИ. 2013 г.
При этом треть россиян (32 %) после случая мошенничества не изменяют свою модель использования банковской карты после столкновения с фактом мошенничества по отношению к их денежным средствам, размещенным на счете банковской карты. Чаще всего подобное равнодушие демонстрируют пользователи, уровень защиты карт которых можно охарактеризовать как низкий (42 % тех, кто не использует ни одного способа защиты), на втором месте по популярности у таких владельцев карт стоит стратегия «ухода в наличные расчеты» – 30 % опрошенных данной категории после столкновения с мошенничеством перестают пользоваться пластиковыми картами или начинают пользоваться ими значительно реже (в целом по выборке данный показатель ниже почти вдвое – 14 %).
Наиболее распространенной стратегией для более ответственных держателей карт является применение различных способов защиты от мошенничества: расширение набора способов защиты (36 и 37 % в группах тех, чьи карты защищены хорошо (шесть и более способов защиты) или на среднем уровне (от одного до пяти способов защиты) соответственно) или решение использовать защиту (18 и 24 % в обеих группах соответственно).
Таблица 6.7. Стратегии реагирования на столкновение с фактом мошенничества (% от активных пользователей банковских карт, сталкивавшихся с фактом мошенничества)
Рост числа столкновений с мошенничеством вызывает увеличение числа использующих стратегию ухода (8 % начинают платить картой реже после одного эпизода, 16 % – после двух и более) и сокращение бездействующих фаталистов: после двух эпизодов продолжают пользоваться как прежде около 40 %, а после трех и более – только 22 %.
В целом уровень финансовой грамотности населения, касающейся защиты персональных данных и банковских карт, а также знания правил поведения и прав потребителей в таких ситуациях, можно охарактеризовать как крайне неудовлетворительный. К примеру, информированность о законодательной гарантии компенсации за проведенную платежную операцию, совершенную без согласия клиента, находится на низком уровне – только 30 % знают о такой возможности при учете высокой активности государственных и общественных организаций в информационной среде, затрагивающей данную тему.
Глава 7
Безопасность банкоматов
Банкоматное мошенничество – противоправные деяния в отношении банкоматов (их технологической инфраструктуры), направленные на хищение денежных средств и информационных ресурсов (в том числе приготовление к такому хищению). В последние годы в России наблюдается неуклонный рост уровня потерь при использовании банкоматов (получение наличных денежных средств с использованием поддельных и утраченных карт): 2009 г. – 348 млн рублей, 2010 г. – 558 млн рублей, 2011 г. – 1378 млн рублей (потери от физических нападений в эти данные не входят). В 2011 г. в России банкоматные потери превысили 50 % уровень от общих потерь по платежным картам.
Угрозы, с которыми сталкивается АТМ[114]114
Банкомат (англ. ATM – automated telling/teller machine).
[Закрыть]-индустрия, можно подразделить на физические и интеллектуальные. К физическим относятся:
– хищение банкомата при помощи ручных приспособлений, механизмов, техники;
– взлом банкомата: разрезание угловой шлифовальной машиной (болгаркой), газосваркой; высверливание замка (ригеля и т. п.); взрыв газообразной смеси;
– вандализм с повреждением монитора, ридера, диспенсера, фальшпанели.
Интеллектуальные угрозы:
– скимминг;
– фальшивый банкомат;
– траппинг (захват карты или наличных);
– кибератаки (вредоносное ПО, др.);
– получение наличных денежных средств по поддельным, утраченным картам.
Эксперты выделяют следующие типы противоправных действий, связанных с банкоматами:
• действия, направленные на держателей карт (ограбление держателя карты при получении или внесении денежных средств (mugging), получение держателем карты денежных средств под принуждением со стороны преступника (forcedwithdrawals) и мошенничество со стороны легитимных держателей карт);
• действия, направленные на денежные средства (хищение банкомата вместе с денежными средствами, взлом сейфа банкомата, хищение денежных средств путем монтажа дополнительных устройств на механизм выдачи купюр (cash trapping), внесение неплатежеспособных/поддельных наличных денежных купюр, ограбление при инкассации и кибератака – хищение наличных денежных средств путем несанкционированного доступа к программному обеспечению);
• действия, направленные на карту и (или) ее реквизиты (копирование магнитной полосы карты (skimming), захват карты в считывающем устройстве (ридере) с целью ее дальнейшего незаконного изъятия (jamming, card trapping), подмена или присвоение карты незаметно для держателя после выполнения операции на банкомате (swapping), фальшивые банкоматы, кибератака – информация о реквизитах карты присваивается путем несанкционированного доступа к программному обеспечению или каналам связи);
• противоправные действия, направленные на ПИН (подглядывание через плечо (shoulder surfing), скрытые видеокамеры, накладные клавиатуры, увеличительные оптические приборы и др.);
• действия, направленные на банкомат (технологию) – нарушение целостности, конфиденциальности или доступности системы (технологии) ATM посредством несанкционированного кибервторжения;
• другие (например, фишинг, обман с использованием социальной инженерии, средств мобильной связи и т. п.).
7.1. Нормативные документы и рекомендации
В настоящий момент появилось достаточно большое количество документов, направленных на обеспечение безопасности банкоматов. Перечислим некоторые из них.
«Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» от 09.06.2012 № 382-П. Данный нормативный документ относит банкоматы к объектам информационной инфраструктуры, к которым предъявляются определенные требования.
2.6.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет объектов информационной инфраструктуры, используемых для обработки, хранения и (или) передачи защищаемой информации, в том числе банкоматов и платежных терминалов.
2.6.3. При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают:
выполнение процедур идентификации, аутентификации, авторизации лиц, осуществляющих доступ к программному обеспечению банкоматов и платежных терминалов;
выполнение процедур идентификации и контроль деятельности лиц, осуществляющих техническое обслуживание банкоматов и платежных терминалов;
2.6.5. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры принимают и фиксируют во внутренних документах решения о необходимости применения организационных мер защиты информации и (или) использования технических средств защиты информации, предназначенных для: регистрации доступа к банкоматам, в том числе с использованием систем видеонаблюдения.
Когда штатные средства производителей банкоматов отсутствуют, выполнение требований возможно организационными мерами или применяя решения сторонних производителей.
2.7.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:
использование технических средств защиты информации, предназначенных для выявления вредоносного кода и для предотвращения воздействия вредоносного кода на объекты информационной инфраструктуры (далее – технические средства защиты информации от воздействия вредоносного кода), на средствах вычислительной техники, включая банкоматы и платежные терминалы, при наличии технической возможности;
регулярное обновление версий технических средств защиты информации от воздействия вредоносного кода и баз данных, используемых в работе технических средств защиты информации от воздействия вредоносного кода и содержащих описание вредоносных кодов и способы их обезвреживания;
функционирование технических средств защиты информации от воздействия вредоносного кода в автоматическом режиме, при наличии технической возможности.
По смыслу данные требования видимо относятся к необходимости использовать на банкоматах антивирусные решения («регулярное обновление… баз данных»). Но для банкоматов их применение является нецелесообразным: банкомат является закрытой средой с ограниченным и заранее известным набором программ, служб, сервисов. Антивирусные программы распознают только уже известное вредоносное программное обеспечение и при этом требуют постоянного обновления своих баз. Для этого, во-первых, необходимо обеспечить канал связи, а во-вторых, неизвестно (так как тестирование никто не проводил), как поведет себя обновленный антивирус по отношению к прикладным программам банкомата. Поэтому более правильно использовать решения по обеспечению контроля целостности программного обеспечения (белые списки). Производители банкоматов такие решения предоставляют: Diebold – SEP 11 (Symantec Endpoint Protection 11), NCR – Solidcore for APTRA. Существуют также предложения сторонних производителей, например GMV – checker ATM security, SafenSoft – TPSecure.
2.7.4. При наличии технической возможности оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают выполнение:
предварительной проверки на отсутствие вредоносного кода программного обеспечения, устанавливаемого или изменяемого на средствах вычислительной техники, включая банкоматы и платежные терминалы;
проверки на отсутствие вредоносного кода средств вычислительной техники, включая банкоматы и платежные терминалы, выполняемой после установки или изменения программного обеспечения.
Проверка на отсутствие вредоносного кода программного обеспечения перед установкой его на банкоматы является необходимой процедурой и должна выполняться в штатном режиме. Чтобы исключить риск случайного заражения банкоматов вредоносным программным обеспечением со стороны инженерно-сервисных служб, установку программного обеспечения необходимо осуществлять с неперезаписываемых носителей информации (CD, DVD).
Штатная техническая возможность проверки на отсутствие вредоносного кода после установки или изменения программного обеспечения отсутствует.
2.18. В состав требований к обеспечению защиты информации при осуществлении переводов денежных средств с применением банкоматов и платежных терминалов включаются следующие требования.
2.18.1. Оператор по переводу денежных средств обеспечивает проведение классификации терминальных устройств дистанционного банковского обслуживания, к которым относятся банкоматы и платежные терминалы, используемые при осуществлении переводов денежных средств (далее при совместном упоминании – ТУ ДБО), с учетом следующего:
возможностей несанкционированного получения информации, необходимой для осуществления переводов денежных средств;
возможностей осуществления воздействия, приводящего к сбоям, отказам, повреждению ТУ ДБО;
особенностей конструкции ТУ ДБО;
места установки ТУ ДБО.
Оператор по переводу денежных средств фиксирует во внутренних документах отнесение каждого ТУ ДБО к одному из определенных в ходе классификации типов (далее – результаты классификации ТУ ДБО) и проводит пересмотр результатов классификации ТУ ДБО при изменении факторов, влияющих на классификацию ТУ ДБО.
Оператор по переводу денежных средств, наряду с факторами, указанными в абзаце первом пункта 2.3 настоящего Положения, учитывает результаты классификации ТУ ДБО при выборе организационных мер защиты информации, технических средств защиты информации, а также функциональных и конструктивных особенностей ТУ ДБО, связанных с обеспечением защиты информации при осуществлении переводов денежных средств, с целью выполнения требований подпунктов 2.18.3–2.18.8 настоящего пункта.
Классификация ТУ ДБО позволит более адресно и эффективно выбрать для них средства защиты.
2.18.2. Оператор по переводу денежных средств принимает и фиксирует во внутренних документах решения о необходимости установки на (в) ТУ ДБО технических средств, предназначенных для обнаружения и (или) предотвращения (затруднения) работы несанкционированно установленного оборудования.
Речь идет о применении антискимминговых устройств.
2.18.3. Оператор по переводу денежных средств обеспечивает контроль состава объектов информационной инфраструктуры в сегментах информационно-телекоммуникационных сетей, в составе которых присутствуют ТУ ДБО, за исключением случая использования услуг радиотелефонной подвижной связи.
Исходя из определения объектов информационной инфраструктуры (пункт 2.1 Положения 382-П), контроль должен осуществляться только для объектов, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и которые используются для осуществления переводов денежных средств.
2.18.4. Оператор по переводу денежных средств обеспечивает размещение на лицевой панели ТУ ДБО или в непосредственной близости от ТУ ДБО сведений, включающих:
наименование оператора по переводу денежных средств, которому принадлежит ТУ ДБО на правах собственности, аренды, лизинга;
идентификатор ТУ ДБО;
телефонный номер (телефонные номера), адреса электронной почты, предназначенные для связи клиентов, использующих данное ТУ ДБО, с оператором по переводу денежных средств, банковским платежным агентом (субагентом) по вопросам, связанным с использованием данного ТУ ДБО;
порядок действий клиента в случае возникновения подозрения о нарушении порядка штатного функционирования ТУ ДБО, а также в случае выявления признаков событий, связанных с нарушением обеспечения защиты информации при осуществлении переводов денежных средств с применением ТУ ДБО.
Оператор по переводу денежных средств определяет во внутренних документах порядок работы с заявлениями клиентов о выявленных событиях, связанных с нарушением обеспечения защиты информации при осуществлении переводов денежных средств с применением ТУ ДБО, и обеспечивает выполнение указанного порядка.
Необходимо упорядочить информирование держателей карт.
2.18.5. Оператор по переводу денежных средств определяет порядок настройки программного обеспечения, средств вычислительной техники в составе ТУ ДБО, включая информацию о конфигурации, определяющей параметры работы технических средств защиты информации, и обеспечивает выполнение указанного порядка.
Необходимо обеспечить безопасное конфигурирование ТУ ДБО (запрет автозапуска, загрузки с внешних носителей, пароли и т. п.).
2.18.6. Оператор по переводу денежных средств обеспечивает периодический контроль состояния ТУ ДБО с целью выявления событий, влияющих на обеспечение защиты информации при осуществлении переводов денежных средств. К таким событиям в том числе относятся:
несанкционированное внесение изменений в программное обеспечение ТУ ДБО, включая внедрение вредоносного кода;
несанкционированное внесение изменений в аппаратное обеспечение ТУ ДБО (установка несанкционированного оборудования на (в) ТУ ДБО), включая несанкционированное использование коммуникационных портов;
сбои и отказы в работе технических средств защиты информации, устройств приема платежных карт (при наличии данных устройств), устройств приема наличных денежных средств (при наличии данных устройств), устройств выдачи наличных денежных средств (при наличии данных устройств).
В случае выявления событий, указанных в настоящем подпункте, оператор по переводу денежных средств обеспечивает приведение ТУ ДБО в такое состояние, при котором обслуживание клиентов невозможного минимизации возможности наступления негативных последствий выявленных событий или устранения несанкционированных изменений в программном и аппаратном обеспечении ТУ ДБО.
Требует применения дополнительных средств защиты: проактивной защиты программного обеспечения на основе контроля целостности и белых списков, активных антискимминговых устройств с датчиками установки скимминга.
2.18.7. Оператор по переводу денежных средств определяет во внутренних документах и обеспечивает выполнение порядка проведения контроля, предусмотренного подпунктом 2.18.6 настоящего пункта, включая его периодичность, в зависимости от факторов, указанных в абзаце первом пункта 2.3 настоящего Положения, а также в зависимости от:
использования систем удаленного мониторинга состояния ТУ ДБО, применения в соответствии с подпунктом 2.18.2 настоящего пункта технических средств, предназначенных для обнаружения и (или) предотвращения (затруднения) работы несанкционированно установленного на (в) ТУ ДБО оборудования;
результатов классификации ТУ ДБО в соответствии с подпунктом 2.18.1 настоящего пункта.
Контроль может быть непрерывным или периодическим.
