16 рекомендаций по безопасности онлайн платежей от Центробанка
О том, как Центробанк переходит в своих публичных документах от общего к деталям, в аналитическом комментарии PayOnline.
Рынок интернет платежей наряду с рынком электронной коммерции еще несколько лет назад существовал в «параллельной реальности» относительно российского финансового рынка, Центробанка и изменений российского законодательства. Однако ежегодный рост рынка e-commerce более чем на четверть и возрастающий интерес россиян к безналичным платежам в Интернете и использованию банковских карт в целом изменили ситуацию.
Уже в апреле мы обсуждали перспективы реализации стратегии развития Национальной Платежной Системы - http://www.payonline.ru/news/ecommerce/375/. А теперь в Письме Центробанка мы видим, что его рекомендации становятся более узкими, точечными.
В Письме № 146-Т ряд пунктов описывает стандартные функции системы fraud-мониторинга организации, занимающейся обеспечением безопасности платежей. Актуализировать механизмы системы fraud-мониторинга рекомендуется не реже, чем раз в два года, а при появлении новых факторов риска и внесении кардинальных изменений в систему защиту информации – своевременно и оперативно адаптировать под них систему анализа рисков.
Для повышения уровня безопасности платежей в Интернете и снижения риска возникновения мошеннических операций рекомендуется использовать многофакторную аутентификацию плательщика. Как поясняют составители Письма, к факторам аутентификации относятся «обладание предметом или устройством (например, персональным идентификатором), знание определенной информации (например, пароля), обладание определенными постоянными неотъемлемыми свойствами (например, отпечатками пальцев)».
В тех же целях рекомендуется использовать динамическую аутентификацию клиента - аутентификацию, при которой на одном из этапов используется пароль с ограниченным сроком действия и ограничением на число использований. Рекомендации по подтверждению платежных операций с помощью одноразовых паролей, доставляемых клиенту по альтернативному каналу связи, соответствуют формату работы XML-протокола 3-D Secure и практике международных платежных систем: Verified by Visa, MasterCard SecureCode и J/Secure. Также внимание уделяется важности использования механизмов мониторинга платежей, в том числе в целях анализа рисков. В качестве критериев мониторинга указаны частота, сумма, место совершения и получатель платежа.
Все рекомендации по обеспечению безопасности предоставления розничных платежей должны учитываться как при передаче функций оператора по переводу денежных средств на аутсорсинг, так и при составлении договоров с субагентами, предоставляющими электронные средства платежа, позволяющие получить розничные платежные услуги через Интернет.
И, конечно же, значительное внимание в Письме уделяется мерам повышения грамотности физических лиц – плательщиков. Операторам по переводу розничных средств рекомендуется информировать клиентов о возможной приостановке получения услуг, о неудачных попытках получения доступа к ним, о возможности управления лимитами на совершение платежей через Интернет. Данные рекомендации направлены на повышение уровня доверия населения к безналичным формам денежных средств и мотивации к их активному использованию. Один из инструментов популяризации безналичных денежных операций среди населения - это возможность страхования рисков плательщика.
Таким образом, Письмо № 146-Т – это сборник базовых рекомендаций по повышению уровня безопасности при предоставлении розничных платежных услуг через Интернет, направленных как на развитие систем управления рисками и защиты информации на стороне операторов по переводу денежных средств, так и на повышение грамотности и информированности пользователей розничных платежных услуг в Интернете.
Процессинговый центр PayOnline продолжит знакомить вас с актуальными новостями Рунета и рынка электронной коммерции. Если у вас есть интересные темы для подготовки аналитических материалов – или вы хотите подготовить совместную аналитическую публикацию, пишите руководителю пресс-центра PayOnline, Марии Горячевой - m.goryacheva@payonline.ru.
Следите за новостями PayOnline в социальных сетях!
• Facebook - https://www.facebook.com/PayOnline
• HabraHabr - http://habrahabr.ru/users/payonline/topics/
• Twitter - https://twitter.com/payonline_ru
• G+ - https://plus.google.com/u/0/communities/116192477302754250868
• ВКонтакте - http://vk.com/processing_payonline
• LiveJournal - http://payonlinesystem.livejournal.com
• LinkedIn - http://www.linkedin.com/company/554564?trk=NUS_CMPY_TWIT
Рынок интернет платежей наряду с рынком электронной коммерции еще несколько лет назад существовал в «параллельной реальности» относительно российского финансового рынка, Центробанка и изменений российского законодательства. Однако ежегодный рост рынка e-commerce более чем на четверть и возрастающий интерес россиян к безналичным платежам в Интернете и использованию банковских карт в целом изменили ситуацию.
Уже в апреле мы обсуждали перспективы реализации стратегии развития Национальной Платежной Системы - http://www.payonline.ru/news/ecommerce/375/. А теперь в Письме Центробанка мы видим, что его рекомендации становятся более узкими, точечными.
В Письме № 146-Т ряд пунктов описывает стандартные функции системы fraud-мониторинга организации, занимающейся обеспечением безопасности платежей. Актуализировать механизмы системы fraud-мониторинга рекомендуется не реже, чем раз в два года, а при появлении новых факторов риска и внесении кардинальных изменений в систему защиту информации – своевременно и оперативно адаптировать под них систему анализа рисков.
Для повышения уровня безопасности платежей в Интернете и снижения риска возникновения мошеннических операций рекомендуется использовать многофакторную аутентификацию плательщика. Как поясняют составители Письма, к факторам аутентификации относятся «обладание предметом или устройством (например, персональным идентификатором), знание определенной информации (например, пароля), обладание определенными постоянными неотъемлемыми свойствами (например, отпечатками пальцев)».
В тех же целях рекомендуется использовать динамическую аутентификацию клиента - аутентификацию, при которой на одном из этапов используется пароль с ограниченным сроком действия и ограничением на число использований. Рекомендации по подтверждению платежных операций с помощью одноразовых паролей, доставляемых клиенту по альтернативному каналу связи, соответствуют формату работы XML-протокола 3-D Secure и практике международных платежных систем: Verified by Visa, MasterCard SecureCode и J/Secure. Также внимание уделяется важности использования механизмов мониторинга платежей, в том числе в целях анализа рисков. В качестве критериев мониторинга указаны частота, сумма, место совершения и получатель платежа.
Все рекомендации по обеспечению безопасности предоставления розничных платежей должны учитываться как при передаче функций оператора по переводу денежных средств на аутсорсинг, так и при составлении договоров с субагентами, предоставляющими электронные средства платежа, позволяющие получить розничные платежные услуги через Интернет.
И, конечно же, значительное внимание в Письме уделяется мерам повышения грамотности физических лиц – плательщиков. Операторам по переводу розничных средств рекомендуется информировать клиентов о возможной приостановке получения услуг, о неудачных попытках получения доступа к ним, о возможности управления лимитами на совершение платежей через Интернет. Данные рекомендации направлены на повышение уровня доверия населения к безналичным формам денежных средств и мотивации к их активному использованию. Один из инструментов популяризации безналичных денежных операций среди населения - это возможность страхования рисков плательщика.
Таким образом, Письмо № 146-Т – это сборник базовых рекомендаций по повышению уровня безопасности при предоставлении розничных платежных услуг через Интернет, направленных как на развитие систем управления рисками и защиты информации на стороне операторов по переводу денежных средств, так и на повышение грамотности и информированности пользователей розничных платежных услуг в Интернете.
Процессинговый центр PayOnline продолжит знакомить вас с актуальными новостями Рунета и рынка электронной коммерции. Если у вас есть интересные темы для подготовки аналитических материалов – или вы хотите подготовить совместную аналитическую публикацию, пишите руководителю пресс-центра PayOnline, Марии Горячевой - m.goryacheva@payonline.ru.
Следите за новостями PayOnline в социальных сетях!
• Facebook - https://www.facebook.com/PayOnline
• HabraHabr - http://habrahabr.ru/users/payonline/topics/
• Twitter - https://twitter.com/payonline_ru
• G+ - https://plus.google.com/u/0/communities/116192477302754250868
• ВКонтакте - http://vk.com/processing_payonline
• LiveJournal - http://payonlinesystem.livejournal.com
• LinkedIn - http://www.linkedin.com/company/554564?trk=NUS_CMPY_TWIT