Все про безпеку платежів: антифрод-системи та відповідність стандарту PCI DSS

Кількість безготівкових транзакцій щороку зростає. Statista інформує, що за останні 10 років чисельність переказів без використання готівки збільшилась з 311 мільярдів до 1,3 трильйона. Аналітики прогнозують, що вже у 2026 році сектор перетне позначку  2 трильйони транзакцій.

Стрімке зростання обсягів онлайн платежів приваблює кіберзлочинців. Дослідження Juniper Research, проведене у 2022 році, встановило, що загальний обсяг втрат у сфері електронної комерції, спричинених шахрайством, сягає 48 мільярдів доларів.

Саме тому безпека платіжних даних та запровадження ефективних заходів задля протидії злочинним діям — нагальна потреба на ринку онлайн транзакцій.

У встановленні систем протидії шахрайству зацікавлені покупці, адже саме вони належать до «групи ризику». Зловмисники викрадають їх фінансову інформацію та кошти. Проте, подібні засоби захисту є не менш важливими й для продавців чи власників маркетплейсів.

В сучасному світі величезна конкуренція спостерігається в будь-якій сфері, тому зіпсована репутація та масові негативні відгуки користувачів вбивають шанси на боротьбу. Отже, недостатня увага до безпеки онлайн платежів та використання застарілих методів захисту призводять до того, що покупці втрачають свої кошти та більше не повертаються. Окрім цього, навколо інтернет-магазину чи маркетплейсу створюється репутація ненадійної або ж навіть небезпечної платформи.

Застарілі системи захисту платіжних даних використовують секретні фрази та паролі у той час, як новітні технології надають зловмисникам значно більший інструментарій для викрадення інформації. Отже, компанії та маркетплейси, що мають справу  обробкою платежів, змушені йти в ногу з часом, активувати інструменти у сфері захисту від шахрайства задля своєчасного виявлення дій кіберзлочинців.

На ринку онлайн платежів встановлено певні стандарти безпеки, яких дотримуються компанії, що працюють у секторі. Найбільш відомим та надійним є стандарт PCI DSS (Payment Card Industry Data Security Standard або ж «Стандарт безпеки даних у сфері платіжних карт»).

Стандарт PCI DSS з’явився у 2004 році. Лідерами є найбільші світові бренди у сфері емісії платіжних карток, а саме: American Express, Discover, JCB, MasterCard та VISA. На той час перелічені компанії контролювали левову частку світового ринку онлайн платежів. Надійна система протидії шахрайству була необхідна аби корпорації не втрачали прибутки від дій зловмисників.

Під стандартом слід розуміти документацію, прийняту Радою PCI SSC — збірку правил та критеріїв, яким  відповідати компанії,  в обробці онлайн платежів. Рада по стандартах безпеки збирається регулярно задля внесення змін у прийняті рекомендації. Це зумовлено тим, що зловмисники «модернізуються», застосовують новітні технології, як от штучний інтелект, нейронні мережі, машинне навчання. Представники топових корпорацій-емітентів платіжних карт приходять до висновку, що певні норми є застарілими та втрачають свою ефективність. Розробляються нові правила та вимоги, які згодом включають до переліку.

PCI DSS сертифікація не є обов’язковою, проте репутаційно його відсутність говорить про те, що клієнти такої компанії захищені недостатньо, існує імовірність витоку фінансових даних. Саме тому, кожна компанія, що працює у сфері обробки онлайн платежів, прагне виконати прийняті вимоги та отримати сертифікат відповідності PCI DSS.

Увесь список критеріїв відповідності стандарту складається з 288 пунктів. Проте виокремлюють 12 основних вимог до компаній, що працюють у сфері обробки платежів:

1. Встановлення та підтримка брандмауера з метою захисту середовища даних власників платіжних карток.
2. Відмова від використання паролів за замовчуванням та інших параметрів безпеки, наданих постачальниками.
3. Необхідність захисту збережених даних власників карток.
4. Шифрування даних платіжної картки, переданих через відкриту публічну мережу.
5. Використання та постійне оновлення антивірусних систем.
6. Розробка та підтримка захищених систем та застосунків.
7. Обмеження доступу до даних власників платіжних карток. Доступ рекомендовано надати лише тим працівникам, чиї робочі завдання безпосередньо пов’язані із використанням таких даних.
8. Призначення кожній особі, що має доступ до даних або обладнання, унікального ID-ідентифікатора.
9. Обмеження фізичного доступу до даних власників платіжних карток.
10. Відстеження та контроль доступу до мережі та даних власників карток.
11. Регулярне тестування систем та процесів безпеки.
12. Забезпечення виконання політики інформаційної безпеки.

Відповідно до перелічених вимог проводиться сертифікація компанії. Якщо вони виконані, постачальник платіжних послуг отримує сертифікат PCI Compliance, який буває чотирьох рівнів:

• Рівень 1. Постачальник обробляє  6 мільйонів транзакцій щороку.
• Рівень 2. Кількість оброблених транзакцій становить від 1 до 6 мільйонів  рік.
• Рівень 3. Річна кількість транзакцій — від 20 тисяч до 1 мільйона.
• Рівень 4. Компанія обробляє менше ніж 20 тисяч транзакцій  рік.

Відповідно до кожного рівня встановлено різні вимоги, які є обов’язковими у процесі сертифікації постачальника платіжних послуг.

PCI DSS — це найбільш надійний стандарт захисту даних власників платіжних карт. Хоча відповідність стандарту не означає, що всі компанії, які надають платіжні послуги, працюють за одним і тим самим алгоритмом. Інакше зникав би принцип конкуренції.

Кожна компанія здебільшого розробляє власну систему протидії шахрайству, використовує новітні системи захисту та впроваджує інноваційні технології з урахуванням вимог кібербезпеки.

Принцип дії антифрод-системи зводиться до наступних етапів:

1. Користувач (наприклад, покупець) підтверджує транзакцію на сайті або в застосунку. Запит спрямовано до платіжного шлюзу.
2. Антифрод-система, що використовується платіжним шлюзом, перевіряє транзакцію за певними критеріями. Фільтри є індивідуальними, їх може бути більше або менше, залежно від того, якою системою користується конкретний платіжний шлюз.
3. Система спирається на результати проведеної перевірки та підбирає певний ідентифікатор для транзакції. Наприклад, «добре»  транзакція не має ознак шахрайської. Якщо привласнено ідентифікатор «погано»  фільтри вказують на те, що переказати кошти намагаються зловмисники.
4. Відповідно до статусу транзакції антифрод-система спрямовує відповідний запит до платіжної системи. Шахрайські транзакції відхиляються, валідні — підтверджуються, а для підозрілих часто застосовуються додаткові механізми верифікації.

Отже, система протидії шахрайству захищає як покупця (шахрайські дії вчасно помічаються та блокуються), так і продавця (підприємці уникають конфліктів з клієнтами, чиїми даними скористались зловмисники).

Сучасна антифрод-система побудована на інноваційних технологіях. Використовуються технології поведінкової біометрії, аналізується транзакційна поведінка. Розглянемо на прикладах:

1. Покупець зазвичай витрачає не більше 2 тисяч гривень на місяць. Зненацька він підтверджує транзакцію на суму 8 тисяч гривень одним платежем. Така поведінка виглядає підозріло.
2. Система накопичує поведінкову біометричну інформацію та встановлює, що на підтвердження транзакції паролем у користувача затрачається 6-7 секунд. На підтвердження останньої транзакції затрачено 14 секунд. Виникає імовірність шахрайських дій.

Технології штучного інтелекту, машинного навчання та нейронні мережі дозволяють використовувати системи протидії шахрайству, у яких застосовані сотні різноманітних алгоритмів. Вони допомагають максимально убезпечити покупців та не створюють жодних незручностей для них.

Щоби отримати підтвердження відповідності стандарту PCI DSS, платіжна компанія має пройти спеціальну процедуру сертифікації. В чому вона полягає?

Крок 1. Заповнення анкети. Представник платіжної компанії вказує всі необхідні дані, щоби представники компанії-аудитора розуміли, які вимоги висуваються.

Крок 2. Підписання договору. Між компанією-заявником та аудиторською компанією укладається договір на проведення аудиту. Важливо, що такий аудит має право проводити лише та компанія, що отримала відповідну ліцензію від Ради PCI DSS. Висновки неліцензованих компаній не надаватимуть права на отримання сертифікат. На цьому ж етапі зазвичай проводиться часткова або повна оплата послуг аудиторської компанії. Конкретні тарифи не встановлено, але процедура обходиться в 10-15 тисяч євро.

Крок 3. Технічний аналіз. Спеціалісти проводять технічний аналіз платіжної компанії: вивчається документація, проводиться бесіда з технічним відділом, оглядається обладнання та процес обробки транзакцій, діагностується рівень захисту інформаційних систем компанії. Далі формується звіт, у якому зазначаються всі невідповідності стандарту PCI DSS та рекомендації щодо їх усунення.

Крок 4. Усунення невідповідностей. Представникам компанії необхідно виправити всі недоліки, зазначені у звіті після технічного аналізу.

Крок 5. Сертифікований аудит. Проводиться фінальна перевірка компанії на відповідність всім вимогам PCI DSS. По завершенню аудиту компанія отримує докладний звіт та атестат, що підтверджує відповідність всім вимогам стандарту.

Крок 6. Отримання сертифіката. Постачальник платіжних послуг отримує сертифікат, що підтверджує відповідність стандарту PCI DSS. Сертифікат видається в паперовому вигляді з мокрими печатками. Термін дії сертифікат складає 12 місяців.

Важливо! Якщо компанія успішно пройшла перевірку, повторно звернутись в аудиторську фірму необхідно через 10 місяців, за два місяці до закінчення терміну дії сертифікат.

Сертифікація постачальника платіжних послуг проводиться щорічно, оскільки кожного року змінюються вимоги, впроваджуються новітні методи захисту, щоби максимально захистити покупця та уникнути ризиків в процесі обробки транзакцій. Наприклад, наразі аудитори спираються на версію стандарту 4.0.

Ключове завдання стандарту PCI DSS полягає у підтримці належного рівня безпеки мережевої інфраструктури та захисті даних власників платіжних карт.

Чи можна постачальнику платіжних послуг працювати без сертифіката PCI DSS? Так, він не є обов’язковим, але у сфері онлайн платежів конкуренція є досить жорсткою. Покупці знатимуть, що компанія не надає максимальний захист, тому їх платіжні дані та фінансова інформація можуть потрапити до рук зловмисників. Отже, постачальник послуг втрачатиме клієнтів.

До того ж коли йдеться про платіжні шлюзи, які є посередниками між платіжними системами та інтернет-магазинами або ж маркетплейсом, наявність або відсутність PCI DSS сертифікату є одним із вирішальних факторів при виборі.

Наявність сертифікат гарантує захист клієнтської інформації від потрапляння до третіх осіб та інших шахрайських дій в транзакціях.

Tranzzo є одним із лідерів на ринку міжнародних платіжних платформ. Рішення для бізнесу доступні у 190 країнах, щорічно обробляється 100 мільйонів транзакцій, а кількість клієнтів вже перетнула позначку в 3000.

Компанія отримала сертифікат відповідності стандарту PCI DSS Level 1 (для процесингових сервісів з обсягом транзакцій 20 мільйонів на рік). Tranzzo щороку проходить сертифікацію задля забезпечення максимального рівня захисту користувачів від шахрайства.

Використовується трирівнева система протидії фрод-злочинам. Всі транзакції перевіряються за більше ніж 200 фільтрами, що дозволяє в реальному часі  заблокувати підозрілі транзакції. База фільтрів постійно поповнюється. Аналітики Tranzzo отримують сповіщення антифрод-системи про нові нетипові дії. Якщо встановлено нові патерни, що сигналізують про можливі фрод-злочини, вони додаються до бази шахрайських сценаріїв.

Окрім цього, антифрод-механізми від Tranzzo дозволяють використовувати набір унікальних фільтрів з урахуванням специфіки вашого бізнесу.

Стрімке зростання обсягів онлайн платежів приваблюють злочинців, які намагаються викрасти платіжні дані. Отже, безпека фінансової інформації клієнта є одним із ключових завдань у сфері обробки транзакцій. Дотримання стандарту PCI DSS та наявність відповідного сертифіката — це гарантія належного захисту платіжних даних. Відсутність такого у платіжного сервісу викликає недовіру у потенційних користувачів та не дозволяє конкурувати із сертифікованими компаніями.