Опубликовано в деловом еженедельнике «Бизнес & Власть»
Казахстанские банки переводят свои карточные продукты в режим безопасности. В течение этого года все финструктуры, выпускающие «пластик», должны прийти в соответствие международным стандартам качества.
До 10 октября текущего года все казахстанские банки, работающие с платежными системами Visa и MasterCard, должны получить сертификат соответствия международному стандарту безопасности «PCI DSS v.1.2». Требования к каждому банку определяются в зависимости от количества операций, совершаемых держателями его карт. Среди основных требований – обязательное кодирование информации клиентов, использование антивирусного программного обеспечения, разграничение доступа сотрудников банка к данным и мониторинг всех сеансов такого доступа.
Первым в Казахстане свидетельство о соответствии международному стандарту информационной безопасности получил Нурбанк. Как пояснил «&» советник председателя правления Нурбанка по информационным технологиям Андрей Чучелов, все расходы, связанные с получением сертификата соответствия, оплачивает банк, клиенты никаких затрат не понесут, перевыпуска клиентских карт не потребуется. «Клиенты банков, получивших сертификат безопасности, могут считать себя наиболее защищенными, – подчеркнул он. – Однако это не означает, что карты несертифицированных фининститутов – участников платежных систем VISA и MasterCard не защищены. Сегодня все банки уделяют много внимания вопросам информационной безопасности, и, скорее всего, вопрос сертификации для них – дело времени».
Соответствие стандарту PCI DSS подразумевает выполнение банком свыше 250 критериев и требований. Часть из них, по словам г-на Чучелова, касается технических средств защиты, часть – вопросов организации деятельности банка, требований к сотрудникам банка по порядку проведения тех или иных операций. По определенным критериям стандарта оценивается уровень информационной безопасности, способность системы противостоять известным на сегодня внешним и внутренним угрозам.
Как сообщил г-н Чучелов, самая распространенная из существующих на сегодня угроз информационной безопасности банка – это утечка информации через сотрудников банка (либо уволившихся, либо состоящих в штате, но вступивших в сговор с мошенниками). «Реализация требований стандарта PCI DSS помогает банку защитить деньги клиентов. Разграничение прав доступа сотрудников банка к информационным системам, финансовой информации и операциям, совершаемым в банке, не позволяет сотрудникам в одиночку выполнять операции от начала и до конца, а также владеть полной информацией о клиентах», – отметил он.
Помимо этого, злоумышленники часто используют различные устройства на банкоматах, позволяющие считывать определенную информацию с магнитной полосы карты для ее последующего дублирования. Так, скрытно установленная мошенником видеокамера позволяет зафиксировать и сохранить момент набора ПИН-кода клиентом. Для предотвращения таких случаев многие банки сегодня переходят на чиповые карты, скопировать которые гораздо сложнее. «В ситуации же, когда клиент сознательно передает свою карту и сообщает ПИН-код третьему лицу, к примеру родственнику или знакомому, либо «покупается» на просьбу отправить свой ПИН-код и номер карты по какому-либо липовому запросу, пришедшему в виде SMS якобы от банка, банки ответственности не несут, поскольку они неоднократно предупреждают, что ПИН-код – это персональная информация клиента, которая не должна сообщаться никому и ни при каких условиях», – добавил г-н Чучелов.
По данным Нацбанка, на 1 февраля 2010 года казахстанские банки выпустили 7,7 млн платежных карточек, количество их держателей составило 7,2 млн человек. Наиболее распространены карточки международных систем, их доля составляет 97,9%. Введение стандарта PCI DSS необходимо для нормального функционирования рынка, снижения рисков на нем и, соответственно, улучшения качества обслуживания, считает главный экономист УК «Финам Менеджмент» Александр Осин. «Приведя информационную инфраструктуру в соответствие требованиям PCI DSS, банки повысят уровень защищенности среды обработки карточных данных. На сегодня система пластиковых карт в Казахстане стабильна, однако опасения вызывает рост количества мошенничеств в этой сфере, составляющий по объемам операций в последнее время десятки процентов в годовом исчислении», – отметил эксперт.
Справка:
PCI DSS – стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard. Объединяет в себе требования ряда программ по защите информации.
Елена Дмитриева
26.03.2010
