Рабочая группа по оценке безопасности платежного оборота является независимой структурой, которая занимается вопросами разработки концепции безопасности, оценкой комплекса безопасности платежного оборота и отдельных его компонентов, вопросами анализа технической безопасности и является органом надзора за реализацией концепции безопасности. Рабочая группа на постоянной основе предоставляет отчет Австрийскому национальному банку по оценке рисков в системе.
Компания ADSS является национальной процессинговой системой по операциям с использованием банковских платежных карт. ADSS принадлежит на 90 % банку Europay Austria, и тем самым основной группе австрийских банков и на 10 % Австрийскому национальному банку.
Технология работы системы Quick
Предоплаченные микропроцессорные карты Австрийской национальной системы электронных кошельков Quick предназначены для оплаты мелких покупок в магазинах, сфере услуг и на предприятиях транспорта, включая такси, а также получения наличных денег в банкоматах без проведения авторизации в режиме реального времени. Лимит оплаты не превышает остатка предоплаченной на карте стоимости на момент совершения операции. Уменьшение остатка лимита электронного кошелька производится при каждой операции с кошельком путем записи на терминале торговца или банкомата нового остатка платежного лимита карты. Форма исполнения кошелька представлена в двух вариантах:
♦ автономная, не эмбоссированная, не персонифицированная анонимная пластиковая карта со встроенным микропроцессором, на которой существует только выгравированный на пластике идентификационный номер карты и логотип системы электронных кошельков Quick;
♦ автономный (анонимный) микропроцессор, встроенный в стандартную персонифицированную банковскую карту с магнитной полосой системы MasterCard.
Функционально электронный кошелек Quick, эмиссию которого осуществляет банк Europay Austria, представляет собой неоднократно загружаемую предоплаченную карту с платежным лимитом меньше 200 долл. Карта имеет конечный срок обращения в целях безопасности. Распространителями карт являются только кредитные институты. Карта выдается с нулевой загруженной стоимостью (нулевой платежный лимит). Загрузка карты осуществляется только в специальных банкоматах, предназначенных для выдачи наличных денег по картам (карта-донор) любой из существующих международных или национальных платежных систем, процедура которой содержит следующие этапы без разрыва во времени:
♦ в банкомат вставляется банковская карта (карта-донор);
♦ вводится пин – код держателя карты;
♦ производится авторизация. В случае одобрения выдается запрос на экран банкомата: "выдать наличные" или "произвести пополнение кошелька";
♦ в случае если держатель выбрал пополнение кошелька, то вставляется кошелек и производится запись в память микропроцессора суммы кассового аванса, полученной с использованием карты-донора.
Существующая технология загрузки кошелька позволяет осуществлять контроль за средствами, загружаемыми на электронные кошельки, и производить учет и контроль источника данных средств. Банк, банкомат которого производил загрузку кошелька, является эквайрером в той системе, банковская карта которой являлась донором для загрузки кошелька. После проведения данной операции средства, полученные банком эквайрером от банка-эмитента, переводятся в банк Europay Austria и служат покрытием для расчетов с предприятиями торговли и сервиса.
После выполнения этих процедур кошелек может быть использован на других специальных терминалах для осуществления оплаты. Для контроля остатка средств в электронном кошельке его владелец имеет возможность вставить кошелек в специальное устройство такого же размера, как и сама карта, на индикаторе которого будет показан остаток.
Концепция и оценка безопасности системы Quick
Стратегия безопасности включает в себя следующие основные компоненты.
1. Целостность Системы, включающая правила по созданию, модификации и стиранию информации, связанной с денежными средствами.
2. Ведение учета: регистрация всех действий, связанных с безопасностью и хранением протоколов.
3. Работоспособность: эксплуатация системы в случае отказа компонентов системы безопасности.
4. Периодическая ревизия системы.
В ходе создания концепции безопасности были выявлены следующие виды рисков:
а) мошенничество со стороны высококвалифицированного персонала;
в) непонимание менеджерами системы безопасности;
г) технические сбои.
В Системе разработана и функционирует модель оценки платежного оборота, целью которой является предупреждение о возможной атаке с целью осуществления несанкционированной эмиссии. В случае предполагаемой атаки в системе безопасности предусмотрена процедура, которая позволяет при передаче [19] данных с терминала предприятия торговли (услуг) на терминал банка-эквайрера выявить нелегально загруженные кошельки и исключить по ним операции.
Важная информация : система криптографических ключей построена по принципу разных алгоритмов (карта клиента – карта предприятия торговли (услуг) и карта предприятия торговли – терминал банка), при этом в случае взлома карты предприятия торговли нет возможности зачислить деньги на его счет в банке, так как для зачисления на счет существует специальная терминальная карта, которая проверяет подлинность терминала предприятия торговли, проводившего операции, поэтому, даже взломав карту клиента, мошенник не представляет угрозы для всей Системы.
По отношению Австрийского национального банка к концепции безопасности системы Quick следует отметить следующее: Австрийский национальный банк входит в постоянно действующий орган надзора за ее реализацией, а также непосредственно принимает участием в разработке системы мониторинга и оценки риска.
Основные выводы
Приведенная структура взаимодействия Австрийского национального банка с учреждениями, участвующими в процессах, связанных с расчетами и обработкой информации по операциям с применением банковских платежных карт и электронных кошельков, отражает его активную позицию.
Австрийский национальный банк, осуществляющий расчеты в платежной системе с использованием электронных кошельков, исходит из необходимого и достаточного принципа участия, чтобы поддерживать стабильность системы, сохранять доверие вкладчиков к эмиссионным банкам и контролировать реализацию концепции безопасности.
В заключение хотелось бы отметить некоторые моменты, относительно контроля и надзора со стороны Австрийского национального банка за банками, осуществляющими эмиссию электронных денег. В соответствии с договором ЕСЦБ по надзору за банками, Австрийский Национальный Банк придерживается существующих рекомендаций в той части, что только кредитные институты могут являться эмитентами электронных денег. Каких-то специальных требований к эмитентам, кроме указанных рекомендации ЕСЦБ, Австрийский национальный банк не предъявляет (включая расчетный банк системы Europay Austria).
2.1.2. Российский опыт
2.1.2.1. Реализация технологии предоплаченных инструментов в платежной системе" Золотая Корона"
Платежная система "Золотая Корона" на 1 января 2006 г. объединяет 220 российских и зарубежных банков, количество карт в системе составляет более 3?3 млн штук.
На 1 января 2006 г. для держателей карт действует широкая инфраструктура, состоящая из более 20 000 торговых терминалов и более 1300 банкоматов в России, Украине, Белоруссии, Кыргызстане и Китае. Доля безналичных операций в торгово-сервисной сети системы составляет 35 %, что является очень высоким показателем для России.
Расчеты между банками в платежной системе проводятся через Расчетную небанковскую кредитную организацию "Платежный Центр" (РНКО "Платежный центр") осуществляющую деятельность на основании лицензии Банка России № 3166-К от 23 января 2006 г.
В связи с тем, что участниками платежной системы являются коммерческие банки, рассмотрим несколько положений, принятых в платежной системе при развитии платежных инструментов – банковских предоплаченных карт.
Активное развитие данное направление получило в платежной системе в 2005 г., после принятия Банком России Положения 266-П. Причины большого интереса банков участников платежной системы к данному инструменту розничных платежей состоят в следующем.