Практика применения EMV-технологий в России и мире
О EMV Чип – это микрокомпьютер на одном кристалле (смарт-карта) EMV карта – это карта со встроенным чипом Сейчас используются гибридные карты
О EMV Регуляторы: Банк России Платежные системы Компания EMVCo, LLC Документы: Стандарт EMV Правила платежных систем ФЗ-161 «О НПС»
Почему ЧИП безопасней? Не выполнимы: Скимминг Поддельные ATM/POS Украденные и Потерянные карты (по PIN транзакциям) Актуальны, как и прежде: CNP - угрозы Недоставленные карты Траппинг
Статистика внедрения EMV в России Источник: Банк России, 2013 год 2011 год - Выпуск Стандарта версии год - Выпуск Стандарта версии год - Создание Компании EMVCo 1996 год - Первые спецификации EMV
EMV-технологии в России к 2016 году? Глава Департамента регулирования расчетов ЦБ РФ Роман Прохоров в сентябре 2013 заявил о планах установить дату, с которой обязательно будет оснащать карты чипом : «…..Планируем установить дату, которая была бы понятна и приемлема для участников рынка, ориентировочно это годы, скорее ближе к 16-му» Источник:
Статистика Уровень мошенничества «Подделка карт» Млн, рублей Источник: Россия Млн, рублей Великобритания Германия 2012 Млн, фунтов Млн, евро
Чиповые карты в США Chip Liability Shift для региона США только с 2016 года? POS принадлежат мерчантам Высокий уровень внедрения карт Развитие NFC, мобильных технологий США не перейдут на чип? Скимминг в России Обналичивают в США Liability Shift не работает Liability Shift не работает
Чиповые карты в США Отслеживание нестандартного поведения Отслеживание операций на крупные суммы Ограничения по региону действия карты Лимиты на суммы операций вне домашнего региона Скимминг в России Обналичивают в США Liability Shift не работает Liability Shift не работает Скимминг в России Обналичивают в США Liability Shift не работает Liability Shift не работает Антифрод система Антифрод система
Внедрение Направления работы Работа с платежной системой Работа с поставщиками оборудования, услуг Реализация в Банке EMV – технологии Срок миграции от 1 года
Практика Банка Возрождения по безопасной конфигурации EMV операций Приоритетное использование только динамических методов аутентификации карты, SDA более уязвим Сторонние приложения на отдельном чипе или в отдельном разделе чипа без взаимодействия Функционал передачи команд карте во время транзакции не используется Запрет Fallback транзакций на банковских ТУ, Fallback транзакции со стороннего ТУ отклоняются в процессинге Запрет оффлайн транзакций
О стоимости внедрения Стоимость миграции для Банка Возрождения составила 0 рублей, но это было 10 лет назад Задача бизнеса - Интересный бизнес- проект, продвигающий не только Банк, но и МПС -> Компенсации миграции от МПС Понижение комиссий за транзакции по чиповым картам Скидки от поставщиков оборудования, услуг Стоимость внедрения для каждого Банка может сильно различаться (50k$; 250k$ 500k$;.....)
Преимущества Правила Chip Liability Shift для региона CEMEA вступили в силу одними из первых, претензионный цикл не вызывает проблем Повышение безопасности -> Повышение доверия со стороны клиентов Повышение безопасности -> Снижение уровня мошенничества
Преимущества Возможность реализации новых проектов - социальных карт, технологий CAP/DPA, 3D Secure, iGlobe – что делает привлекательным бизнес на основе банковских карт 2002 – эмиссия карт VISA Эмиссия: социальная карта Эмиссия: бензиновый кошелек Эмиссия: payWave Эмиссия: iGlobe технология CAP/DPA Услуга: 3D Secure 2005 – эмиссия карт MasterCard
Выводы Мошенничество с чиповыми картами более затратное для преступников, чем атаки на магнитные карты и CNP-атаки. Злоумышленники будут использовать более простые варианты, пока будет такая возможность В условиях массовой миграции на чип, оставаться на магнитных технологиях, значит повышать риски компрометации именно «ваших» карт EMV-технологии не панацея -> необходим комплексный подход (3D-Secure, антифрод- системы) Стараться не просто перейти на чип, но попробовать реализовать бизнес-проекты
Ларионов Анатолий Петрович Заместитель начальника Службы информационной безопасности Банка Возрождения Кауц Алексей Викторович Заместитель Начальника Департамента банковских карт Банка Возрождения Плетнев Леонид CISM, CISA, PCI QSA Департамент консалтинга и аудита Компании ИНФОРМЗАЩИТА +7(495) (926)