Как стать автором
Обновить

Развитие card‑not‑present environment: история и возможности

MastercardИнформационная безопасностьПлатежные системы

Оплата по картам через Интернет – первые шаги

В середине 1990-х годов для проведения оплаты по карте было нужно совсем немного – ее номер и срок действия. Клиент вводил эти цифры в поля формы на сайте магазина и подтверждал оплату. Сформированный авторизационный запрос передавался от банка-эквайрера через платежную систему к банку-эмитенту. При правильно заведенных данных чаще всего следовал положительный ответ эмитента.
Таким образом, оплатить товар мог не только держатель карты, но и любой человек, которому ее реквизиты стали известны. Эта схема имела как минимум четыре точки компрометации.

1) Компьютер и браузер клиента. Здесь перехватить данные может скрытая программа регистрации нажатия клавиш (keylogger), вирус или поддельная страница магазина.

2) Канал связи между пользователем и его провайдером. Провайдер видит весь трафик на своем оборудовании, может его анализировать и перехватывать.

3) Интернет-магазин, передававший детали карты в процессинговую систему банка-эквайрера. Номера карт зачастую хранились в базах данных магазина и протоколах систем, сайт мог быть взломан, мог находиться под контролем злоумышленника.

4) Хост банка-эквайрера, или процессинговый центр, предоставляющий услуги по обработке карточных операций. Здесь также данные хранились в базе, протоколах и могли быть скопированы кем-то из сотрудников.
Первые кардеры пробовали подбирать номера карт с помощью программного генератора, если это вдруг получалось, то торговые точки несли убытки. Поэтому нередко торговцы закладывали потенциальные риски в стоимость товаров.
Напомню, что до введения стандарта PCI DSS оставался еще десяток лет, поэтому хранению данных карт уделялось мало внимания, номера карт активно использовались продавцами для учета клиентов, печатались на чеках, пересылались по электронной почте. Этим также могли воспользоваться злоумышленники.

Нужно больше безопасности – SSL и CVC

Появление технологии шифрования SSL и усиленного протокола HTTPS на ее основе помогли устранить утечки данных карт в каналах связи.

Кроме того, появилась возможность переноса страницы для ввода данных карты с сайта торговца на защищенный сайт процессингового центра банка-эквайрера.
Для дополнительной аутентификации держателя карты платежные системы внедрили специальный код Card Verification Code (CVC). Банки-участники MasterCard начали выпуск таких карт в 1997 году, Visa – в 2001 году.

Код известен эмитенту и напечатан на оборотной стороне карты. Это должно было означать, что плательщик держит карту в руках в момент совершения операции. Подобно ПИН-коду, код CVC нигде не хранится и передается по каналу связи только в момент проведения авторизации.

Мера позволила, с одной стороны, отсечь хакеров с генераторами номеров, с другой – улучшить положение Интернет-магазинов, потому что появились новые инструменты защиты. Например, теперь если банк-эмитент проверил CVC и подтвердил совершение операции, то опротестовать ее как мошенническую стало сложнее.

Переходим к 3D

В реальном мире дела с мошенничеством тоже обстояли не очень хорошо, поэтому банки-эмитенты вместе с платежными системами стали готовиться к миграции на карты с микропроцессором.
Развитие эмиссии чиповых карт снизило возможности для подделки реальных карт. Мошенники, лишившиеся возможности копировать магнитную полосу, потянулись в виртуальный мир. Атаки продолжились по двум векторам: клиенты и инфраструктура магазинов и процессинговых систем.
В рамках борьбы с мошенничеством был разработан промышленный стандарт Payment Card Industry Data Security Standard (PCI DSS). А для прямых участников-эмитентов, эквайреров и их клиентов платежные системы стали внедрять технологию 3D Secure.
Мы не планировали в данном материале рассматривать стандарт PCI DSS, но пару предложений о нем сказать следует. Главный смысл стандарта такой – хранить как можно меньше чувствительных данных, жестче ограничить доступ к ним. Фактически, формируется некая зона соответствия стандарту (PCI DSS compliance area), со всех сторон ограниченная административными или техническими барьерами.

Технология 3D Secure позволяет провести дополнительную аутентификацию клиента непосредственно у банка-эмитента. Перед тем как направить запрос на авторизацию оплаты, предлагает клиенту ввести пароль в форму, загружаемую из процессингового центра банка-эмитента. Пароль любым другим способом передает клиенту его банк – это может быть SMS-сообщение, значение из таблицы переменных кодов или с чека банкомата, заранее оговоренное парольное слово. Если эмитент подтверждает аутентификацию клиента, то магазин проводит оплату.

Некоторые интернет-магазины отказываются от проверки клиентов с помощью 3D Secure с целью сокращения времени чек-аута и повышения конверсии. Но в этом случае приходится строить программные комплексы для анализа поведения клиента на сайте. Эти программы учитывают множество параметров: срок регистрации клиента на сайте, количество покупок, адреса e-mail и доставки, браузер и регион пользователя.

Если один и тот же адрес доставки принадлежит нескольким аккаунтам, это уже подозрительно. Если на один e-mail создано много учетных записей, да еще в один день, велика вероятность мошенничества. Контроль IP-адресов и данных, передаваемых браузером, позволяет отсекать подозрительные операции незаметно для большинства клиентов. Построение подобной системы – очень непростая и дорогостоящая задача, которая под силу только крупным торговцам.

Также существуют компании, предоставляющие свои сервисы для подобной проверки клиентов, но они не бесплатны и серьезно повышают полную стоимость транзакции для торговца.

Будь проще, и клиенты к тебе потянутся

Несмотря на то, что сегодня рынок электронных платежей достаточно развит, и все процессинговые системы обязаны получить сертификат PCI DSS уже версии 3.0, случаи утечек данных все еще происходят.
А что, если клиент вообще не будет заводить детали карты при оплате товара в интернет-магазине? Это позволило бы устранить риски, связанные с клиентом и его компьютером, упростить оплату товара, дать «зеленый свет» мобильным устройствам.
Одна из идей называется «токенизация». В этом случае набору деталей карты клиента ставится в однозначное соответствие некое случайное число – токен. Сами детали карт хранятся в защищенной зоне, а обращение к ним для оплаты товара производится только по токену. Недостатки: клиент должен все-таки один раз завести детали карт в интернет-магазине; защищенную зону где-то надо создать и охранять, и это не должен быть сайт торговца.

Другая идея реализована платежной системой PayPal. Клиент заводит детали карты не в магазине, а в личном кабинете PayPal на защищенной странице. После этого торговцы, подключенные к PayPal, просто инициируют платеж со ссылкой на учетную запись клиента, остальное делает платежная система.

Похожая идея используется в технологии MasterPass, недавно предложенной платежной системой MasterCard. Здесь в качестве «источника» денежных средств работает электронный кошелек. В России на сегодня подключены «Яндекс.Деньги» и «Пей-ап.Платежи». Вся регистрация данных клиента и безопасное хранение деталей карт находятся в зоне ответственности компаний, ведущих кошельки.

Чтобы начать принимать платежи за товары через MasterPass, интернет-магазин должен заключить договор с банком-эквайрером на обслуживание операций по картам и подключиться к процессинговой системе банка. Также надо установить на сайте несложный скрипт. Далее всю работу берет на себя MasterPass. В нужный момент система идентифицирует клиента в его электронном кошельке и безопасно передаст банку-эквайреру данные карты клиента для проведения операции оплаты.

Чем удобны такие способы косвенной оплаты? Клиент не вводит данные карты ни на сайте, ни в планшете, исключается возможность их перехвата. Любое устройство клиента – компьютер, телефон, планшет – превращается в платежный терминал. Интернет-магазин может реализовать реальные схемы оплаты «в один клик» – адресная информация клиента также будет взята из кошелька.

Все это может помочь улучшить конверсию клиентов, снизить риски торговых предприятий и даст новый толчок для развития онлайн-платежей.
Теги:mastercardбезопасные платежиsslcvc3d secure
Хабы: Mastercard Информационная безопасность Платежные системы
Всего голосов 38: ↑34 и ↓4 +30
Просмотры13K