8 (495) 705-99-99

АО «НСПК» - оператор платежной системы «Мир»

8 800 100 54 64

Поддержка держателей карт «Мир»
EN

8 (495) 705-99-99

АО «НСПК» - оператор платежной системы «Мир»

8 800 100 54 64

Поддержка держателей карт «Мир»

НСПК: «Мы стараемся максимально обеспечить безопасность с минимальной нагрузкой на участников»

16 Февраля 2018

В четверг 15 февраля в рамках Х Уральского форума состоялась сессия «Безопасность в платежной системе «Мир».

Участники сессии обсудили ряд вопросов, связанных с обеспечением безопасности платежных карт, в том числе эффективное обеспечение защиты участников отрасли с точки зрения банков и интеграторов, способы противодействия внешним атакам на процессинги, а также насколько безопасно использовать банковские карты в качестве средства аутентификации клиентов.

Заместитель генерального директора НСПК (оператор платежной системы «Мир») Сергей Бочкарев, открывая сессию, отметил:

«За этот год НСПК обработала порядка 8 млрд транзакций по картам международных платежных систем и картам „Мир“, в среднем около 34 млн операций в сутки. В моменты пиковой нагрузки обрабатывалось до 900 транзакций в секунду. В управлении НСПК находится сложный IT-ландшафт — порядка 50 систем (business&mission critical), а инфраструктура распределена в 6 Центрах обработки данных (ЦОД). При этом доступность сервиса, который предоставляет НСПК для всех участников рынка, составляет 99,999. Это означает, что никто из участников не испытывает сложностей, связанных с доступностью инфраструктуры в периметре НСПК».

Заместитель начальника управления безопасности НСПК Анна Гольдштейн рассказала о программе безопасности в платежной системе «Мир»:

«Основные требования безопасности в платежной системе „Мир“ определяются положением Банка России 382-П и стандартами PCI DSS, и мы стараемся максимально обеспечить безопасность с минимальной нагрузкой на участников.

Для всех процессоров, имеющих прямое подключение к ОПКЦ НСПК, а также сервис-провайдеров, обрабатывающих более 300 тыс. операций по ПС „Мир“ в год, потребуется подтверждение соответствия PCI DSS при помощи сертификационного аудита, при этом аудитор должен быть аккредитован в ПС „Мир“. Полный сертификационный аудит потребуется также торгово-сервисным предприятиям, обрабатывающим в год свыше 6 млн операций по картам „Мир“. Все участники ПС „Мир“ должны использовать только сертифицированное по PA-DSS программное обеспечение, а также ежегодно отчитываться по используемым ими сервис-провайдерам. В свою очередь, банки-эквайреры обеспечивают классификацию и контроль соответствия обслуживаемых ТСП требованиям PCI DSS, отчитываются в НСПК по своим клиентам — торгово-сервисным предприятиям и их статусу PCI DSS раз в полгода, по аналогии с тем, как это делается сейчас для международных платёжных систем.

В случае выявления подтвержденной компрометации платежных карт или инфраструктуры, для всех типов субъектов ПС „Мир“ на следующий год потребуется оценка соответствия PCI DSS путем сертификационного аудита. Перечисленные требования вступят в силу в 3 квартале 2018 года».

Она отметила, что со 2 квартала текущего года на портале участника НСПК будут запущены коллективные обсуждения, проект «Информационная безопасность» в личном кабинете и появится ряд других изменений во взаимодействии с участниками.

Анна Гольдштейн также рассказала о преимуществах новой версии сервиса для обеспечения безопасной электронной коммерции MirAccept 2.0, запущенного в ПС «Мир» в августе 2017 года и реализующего технологию EMV 3D Secure 2.0:

«Применяемая с 2001 года технология версии 1.0 отражает дух своего времени — она только браузерная и не поддерживает возможность покупок из мобильного приложения, что некомфортно пользователям, ведь большинство онлайн-операций совершается уже в смартфонах. И что самое главное, многие магазины из-за этого теряют деньги — покупатели зачастую не совершают покупки, сомневаясь, в то ли всплывающее окно вводится пароль, либо вовсе не получая вовремя СМС с паролем. В MirAccept 2.0 снижается вероятность отказа клиента от операции и одновременно появляются расширенные возможности эмитента по аутентификации держателя карты. Новая технология позволяет подтвердить операцию как с помощью таких привычных методов аутентификации как OTP, так и выполнить аутентификацию без участия держателя карты. Банк-эмитент может самостоятельно, на основе анализа множества факторов, сбор и передача которых вместе с данными транзакции определены спецификацией нового протокола аутентификации, принять решение о подтверждении операции. Кроме того, в версии 2.0 появилась возможность неплатежной аутентификации, необходимой в современных электронных финансовых сервисах».

В рамках сессии платежной системы «Мир» прошел круглый стол, посвященный актуальным вопросам обеспечения безопасности операций с использованием платежных карт.

Владимир Простов, представитель Центра защиты информации ФСБ России, дал высокую оценку работе специалистов НСПК по результатам совместной работы в ТК 26. При этом он отметил высокую квалификацию российских специалистов в этой области, которая позволяет надеяться на возможность создания криптографических решений, превосходящих зарубежные аналоги.

Алексей Гришин, директор Центра информационной безопасности «Инфосистемы Джет», сообщил, что залог успеха — правильное выделение сегмента сети, который отвечает за платежные операции, а также управление уязвимостями: их своевременное выявление и устранение.

Руководитель направления информационной безопасности Альфа-Банка Лев Шумский подчеркнул, что процессинг банка необходимо сразу выстраивать в соответствии с требованиями PCI DSS и с учетом международного опыта.

Денис Горчаков, лидер Kaspersky Fraud Prevention Лаборатории Касперского, отметил, что согласно данным исследований международных платежных систем, в 30% случаев человек не совершает покупку на сайте, где есть 3D Secure из-за необходимости совершать лишние действия — ввод пароля и т.п. При этом использование новой версии технологии позволит снизить не только процент таких уходов с сайта, но и издержки банков, в том числе на работу с претензиями клиентов от 1,5 до 6 раз.

Ильдар Скрижалин, генеральный директор Gemalto Россия, отметил, что самый распространенный персональный элемент безопасности — это банковская платежная карта, в которой помимо платежного приложения может присутствовать еще и аутентификационное. В ряде стран эти стандарты уже получили широкое распространение. И если речь идет о поиске компромисса между строгими требованиями безопасности и удобством пользователя, возможно, технология аутентификации, уже «зашитая» в банковскую карту, могла бы получить применение в некоторых проектах и в России.

Начальник отдела информационной безопасности компании Яндекс.Деньги Александр Мялковский рассказал, что во главу угла компания ставит именно удобство пользователя, поэтому решения по безопасности должны быть максимально простыми для клиента. Поэтому клиентам компании присваивается идентификационный номер, привязанный к номеру карты.

Модератором дискуссии выступил начальник управления безопасности НСПК Вячеслав Касимов.

Уральский форум — ключевое мероприятие, посвященное информационной безопасности в финансовой сфере. Организатор Уральского форума — Банк России. В мероприятии ежегодно принимают участие представители государственного сектора, кредитно-финансовых организаций, операторов связи, средств массовой информации, а также ряда отечественных и зарубежных компаний, предоставляющих услуги по обеспечению информационной безопасности.