Все о безопасности платежей: антифрод-системы и соответствие стандарту PCI DSS

Количество безналичных транзакций ежегодно растет. По данным Statista, за последние 10 лет численность переводов без использования наличных увеличилась с 311 миллиардов до 1,3 триллиона. Аналитики прогнозируют, что уже в 2026 году сектор пересечет отметку 2 триллиона транзакций.

Стремительный рост объемов онлайн платежей привлекает киберпреступников. Исследование Juniper Research, проведенное в 2022 году, установило, что общий объем потерь в сфере электронной коммерции, вызванных мошенничеством, достигает 48 миллиардов долларов.

Именно поэтому безопасность платежных данных и внедрение эффективных мер для борьбы с преступными действиями — необходимы на рынке онлайн транзакций.

В установлении систем противодействия мошенничеству заинтересованы покупатели, ведь именно они относятся к группе риска. Злоумышленники похищают их финансовую информацию и средства. Однако подобные средства защиты не менее важны и для продавцов или владельцев маркетплейсов.

В современном мире огромная конкуренция наблюдается в любой сфере, поэтому испорченная репутация и массовые негативные отзывы пользователей убивают шансы на борьбу. Итак, недостаточное внимание к безопасности онлайн платежей и использование устаревших методов защиты приводят к тому, что покупатели теряют свои средства и больше не возвращаются. Кроме этого, вокруг интернет-магазина или маркетплейса создается репутация ненадежной или даже опасной платформы.

Устаревшие системы защиты платежных данных используют секретные фразы и пароли, в то время, как новейшие технологии предоставляют злоумышленникам значительно больший инструментарий для похищения информации. Итак, компании и маркетплейсы, имеющие дело с обработкой платежей, вынуждены идти в ногу со временем, активировать актуальные инструменты в сфере защиты для своевременного выявления действий киберпреступников.

На рынке онлайн платежей установлены определенные стандарты безопасности, которых придерживаются компании, работающие в секторе. Наиболее известным и надежным является стандарт PCI DSS (Payment Card Industry Data Security Standard или «Стандарт безопасности данных в сфере платежных карт»).

Стандарт PCI DSS появился в 2004 году. Лидерами являются крупнейшие мировые бренды в сфере эмиссии платежных карт, а именно: American Express, Discover, JCB, MasterCard и VISA. В то время перечисленные компании контролировали львиную долю мирового рынка онлайн платежей. Надежная система противодействия мошенничеству была необходима, чтобы корпорации не теряли прибыли от действий злоумышленников.

Под стандартом подразумевают документацию, принятую Советом PCI SSC — сборник правил и критериев, которым должны соответствовать компании, в обработке онлайн платежей. Совет по стандартам безопасности собирается регулярно для внесения изменений в принятые рекомендации. Это обусловлено тем, что злоумышленники "модернизируются", применяют новейшие технологии, такие как искусственный интеллект, нейронные сети и машинное обучение. Представители топовых корпораций-эмитентов платежных карт приходят к выводу, что определенные нормы устарели и теряют свою эффективность. Разрабатываются новые правила и требования, которые впоследствии включают в перечень.

PCI DSS сертификация не является обязательной. Однако репутационно ее отсутствие говорит, что клиенты такой компании защищены недостаточно, существует вероятность утечки финансовых данных. Именно поэтому, каждая компания, работающая в сфере обработки онлайн платежей, стремится выполнить принятые требования и получить сертификат соответствия PCI DSS.

Весь список критериев соответствия стандарту состоит из 288 пунктов. Однако выделяют 12 основных требований к компаниям, работающим в сфере обработки платежей:

1. Установка и поддержка брандмауэра с целью защиты среды данных владельцев платежных карт.
2. Отказ от использования паролей по умолчанию и других параметров безопасности, предоставленных поставщиками.
3. Необходимость защиты сохраненных данных держателей карт.
4. Шифрование данных платежной карты, передаваемых через открытую публичную сеть.
5. Использование и постоянное обновление антивирусных систем.
6. Разработка и поддержка защищенных систем и приложений.
7. Ограничение доступа к данным владельцев платежных карт. Доступ рекомендуется предоставить только тем работникам, чьи рабочие задачи непосредственно связаны с использованием таких данных.
8. Назначение каждому лицу, имеющему доступ к данным или оборудованию, уникального ID-идентификатора.
9. Ограничение физического доступа к данным владельцев платежных карт.
10. Отслеживание и контроль доступа к сети и данным держателей карт.
11. Регулярное тестирование систем и процессов безопасности.
12. Обеспечение выполнения политики информационной безопасности.

В соответствии с перечисленными требованиями проводится сертификация компании. Если они выполнены, поставщик платежных услуг получает сертификат PCI Compliance, который бывает четырех уровней:

• Уровень 1. Поставщик обрабатывает 6 миллионов транзакций в год.
• Уровень 2. Количество обработанных транзакций составляет от 1 до 6 миллионов в год.
• Уровень 3. Годовое количество транзакций — от 20 тысяч до 1 миллиона.
• Уровень 4. Компания обрабатывает менее 20 тысяч транзакций в год.

В соответствии с каждым уровнем установлены различные требования, которые являются обязательными в процессе сертификации поставщика платежных услуг.

PCI DSS — это наиболее надежный стандарт защиты данных владельцев платежных карт. Однако соответствие стандарту не означает, что все компании, предоставляющие платежные услуги, работают по одному и тому же алгоритму. Иначе исчезал бы принцип конкуренции.

Каждая компания в основном разрабатывает собственную систему противодействия мошенничеству, использует новейшие системы защиты и внедряет инновационные технологии с учетом требований кибербезопасности.

Принцип действия антифрод-системы сводится к следующим этапам:

1. Пользователь (например, покупатель) подтверждает транзакцию на сайте или в приложении. Запрос направляется на платежный шлюз.
2. Антифрод-система, используемая платежным шлюзом, проверяет транзакцию по определенным критериям. Фильтры индивидуальны, их может быть больше или меньше, в зависимости от того, какой системой пользуется конкретный платежный шлюз.
3. Система опирается на результаты проведенной проверки и подбирает определенный идентификатор для транзакции. Например, "хорошая" транзакция не имеет признаков мошеннической. Если присвоен идентификатор "плохо" фильтры указывают на то, что перевести средства пытаются злоумышленники.
4. В соответствии со статусом транзакции антифрод-система направляет соответствующий запрос в платежную систему. Мошеннические транзакции отклоняются, валидные — подтверждаются, а для подозрительных часто применяются дополнительные механизмы верификации.

Таким образом, система противодействия мошенничеству защищает как покупателя (мошеннические действия вовремя замечаются и блокируются), так и продавца (предприниматели избегают конфликтов с клиентами, чьими данными воспользовались злоумышленники).

Современная антифрод-система построена на инновационных технологиях. Используются технологии поведенческой биометрии, анализируется транзакционное поведение. Рассмотрим на примерах:

1. Покупатель обычно тратит не более 2 тысяч гривен в месяц. Неожиданно он подтверждает транзакцию на сумму 8 тысяч гривен одним платежом. Такое поведение выглядит подозрительно.
2. Система накапливает поведенческую биометрическую информацию и устанавливает, что на подтверждение транзакции паролем у пользователя затрачивается 6-7 секунд. На подтверждение последней транзакции затрачено 14 секунд. Возникает вероятность мошеннических действий.

Технологии искусственного интеллекта, машинного обучения и нейронные сети позволяют использовать системы противодействия мошенничеству, в которых применены сотни различных алгоритмов. Они помогают максимально обезопасить покупателей и не создают никаких неудобств для них.

Чтобы получить подтверждение соответствия стандарту PCI DSS, платежная компания должна пройти специальную процедуру сертификации. В чем она заключается?

Шаг 1. Заполнение анкеты. Представитель платежной компании указывает все необходимые данные, чтобы представители компании-аудитора понимали, какие требования выдвигаются.

Шаг 2. Подписание договора. Между компанией-заявителем и аудиторской компанией заключается договор на проведение аудита. Важно, что такой аудит имеет право проводить только та компания, которая получила соответствующую лицензию от Совета PCI DSS. Выводы нелицензированных компаний не будут давать права на получение сертификата. На этом же этапе обычно проводится частичная или полная оплата услуг аудиторской компании. Конкретные тарифы не установлены, но процедура обходится в 10-15 тысяч евро.

Шаг 3. Технический анализ. Специалисты проводят технический анализ платежной компании: изучается документация, проводится беседа с техническим отделом, осматривается оборудование и процесс обработки транзакций, диагностируется уровень защиты информационных систем компании. Далее формируется отчет, в котором указываются все несоответствия стандарту PCI DSS и рекомендации по их устранению.

Шаг 4. Устранение несоответствий. Представителям компании необходимо исправить все недостатки, указанные в отчете после технического анализа.

Шаг 5. Сертифицированный аудит. Проводится финальная проверка компании на соответствие всем требованиям PCI DSS. По завершению аудита компания получает подробный отчет и аттестат, подтверждающий соответствие всем требованиям стандарта.

Шаг 6. Получение сертификата. Поставщик платежных услуг получает сертификат, подтверждающий соответствие стандарту PCI DSS. Сертификат выдается в бумажном виде с мокрыми печатями. Срок действия сертификат составляет 12 месяцев.

Важно! Если компания успешно прошла проверку, повторно обратиться в аудиторскую фирму необходимо через 10 месяцев, за два месяца до окончания срока действия сертификата.

Сертификация поставщика платежных услуг проводится ежегодно, поскольку каждый год меняются требования, внедряются новейшие методы защиты, чтобы максимально защитить покупателя и избежать рисков в процессе обработки транзакций. Например, сейчас аудиторы опираются на версию стандарта 4.0.

Ключевая задача стандарта PCI DSS заключается в поддержании надлежащего уровня безопасности сетевой инфраструктуры и защите данных владельцев платежных карт.

Можно ли поставщику платежных услуг работать без сертификата PCI DSS? Да, он не является обязательным, но в сфере онлайн платежей конкуренция достаточно жесткая. Покупатели будут знать, что компания не предоставляет максимальную защиту, поэтому их платежные данные и финансовая информация могут попасть в руки злоумышленников. Таким образом, поставщик услуг будет терять клиентов.

К тому же когда речь идет о платежных шлюзах, которые являются посредниками между платежными системами и интернет-магазинами или маркетплейсом, наличие или отсутствие PCI DSS сертификата является одним из решающих факторов при выборе.

Наличие сертификат гарантирует защиту клиентской информации от попадания к третьим лицам и других мошеннических действий в транзакциях.

Tranzzo является одним из лидеров на рынке международных платежных платформ. Решения для бизнеса доступны в 190 странах, ежегодно обрабатывается 100 миллионов транзакций, а количество клиентов уже пересекло отметку в 3000.

Компания получила сертификат соответствия стандарту PCI DSS Level 1 (для процессинговых сервисов с объемом транзакций 20 миллионов в год). Tranzzo ежегодно проходит сертификацию для обеспечения максимального уровня защиты пользователей от мошенничества.

Используется трехуровневая система противодействия фрод-преступлениям. Все транзакции проверяются по более чем 200 фильтрам, что позволяет в реальном времени заблокировать подозрительные транзакции. База фильтров постоянно пополняется. Аналитики Tranzzo получают оповещения антифрод-системы о новых нетипичных действиях. Если установлены новые паттерны, сигнализирующие о возможных фрод-преступлениях, они добавляются в базу мошеннических сценариев.

Кроме того, антифрод-механизмы от Tranzzo позволяют использовать набор уникальных фильтров с учетом специфики вашего бизнеса.

Стремительный рост объемов онлайн платежей привлекают преступников, которые пытаются похитить платежные данные. Следовательно, безопасность финансовой информации клиента является одной из ключевых задач в сфере обработки транзакций. Соблюдение стандарта PCI DSS и наличие соответствующего сертификата — это гарантия надлежащей защиты платежных данных. Его отсутствие у платежного сервиса вызывает недоверие у потенциальных пользователей и не позволяет конкурировать с сертифицированными компаниями.