Безопасность электронных платежных систем

Требования к безопасности электронных платежных систем

Электронные платежные системы (ЭПС) – это платежные системы, которые обеспечивают осуществление транзакций электронных платежей через сети (например Интернет) или платежные чипы. Физическая или электронная инфраструктура ЭПС может включать проведение финансовых транзакций с помощью банкоматов, платежных киосков, POS-терминалов, карт с хранимой денежной стоимостью и т. п.

Основными угрозами информационной безопасности электронных платежных систем являются:

– транзакции, выполненные мошенниками с использованием правильных реквизитов электронной пластиковой карты;

– получение данных о клиенте через взлом баз данных банков, торговых предприятий или путем перехвата сообщений пользователя, содержащих его персональные данные;

– магазины-бабочки, возникающие на непродолжительный срок, чтобы получить денежные средства за несуществующие товары и услуги;

– увеличение стоимости товара или услуги по отношению к первоначальной или повторное списание суммы со счета клиента;

– магазины и торговые агенты, занимающиеся сбором информации о реквизитах электронной пластиковой карты и персональных данных покупателя.

Требования к системе безопасности электронных платежных систем можно разделить на следующие группы:

1 Требования по безопасности:

– исключения возможности списания средств с аккаунта плательщика третьими лицами;

– обеспечение возможности легитимного подтверждения плательщиком перед третьими лицами (например судом) факта совершения платежа, его получения получателем и назначения данного платежа (например получения товара надлежащего качества);

– обеспечение возможности легитимного подтверждения получателем перед третьими лицами факта получения платежа и его назначения;

– обеспечение возможности легитимного подтверждения эмитентом[††] факта проведения всех авторизованных транзакций по данному аккаунту действительным владельцем данного аккаунта;

– обеспечение гарантий, исключающих воровство перемещаемой с аккаунта суммы в момент передачи и попадания ее точно и исключительно по назначению;

– исключение возможностей подделки квитанций эмитента пользователем;

– обеспечение разрешения всех спорных вопросов между эмитентом и пользователями исключительно электронным образом с помощью сообщений с цифровой подписью;

– обеспечение возможности разрешения спорных вопросов между пользователями без участия эмитента; система в целом должна быть устойчива к мошенническим действиям, в том числе в случае форс-мажорных обстоятельств.

2 Требования по конфиденциальности:

– исключение возможности получения информации о действиях пользователей сторонними наблюдателями;

– обеспечение необходимой степени анонимности плательщика для получателя платежа;

– исключение возможности получения эмитентом информации о назначении платежа;

– исключение возможности получения эмитентом информации о том, с каким из поступлений на аккаунт получателя связано каждое из списаний с аккаунта плательщика.

3 Требования по реализации. Требования к реализации обычно направлены на простоту и надежность работы системы, поскольку отказы в таких решениях могут привести к большим финансовым потерям сторон. Требования по реализации обычно заключаются в следующем:

– система должна быть простой как с точки зрения пользователей, так и для разработчиков. Простота системы удешевляет и ускоряет ее реализацию и техническую поддержку, способствует расширению сообщества применяющих ее организаций и привлекает потребителей;

– система должна базироваться на хорошо проверенной и надежной технологии, что также будет залогом простоты ее реализации и уверенности в достаточном уровне безопасности;

– система должна иметь возможность работать с пользователями извне организации, использующей данную платежную систему, так как очевидно, что множество потенциальных пользователей не являются сотрудниками этой организации.

4 Прочие требования. Помимо изложенных выше требований, к любой платежной системе применимы традиционные для любой онлайновой системы требования по гибкости, маcштабируемости и эффективности.