ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ РАБОТЫ БАНКОВ С ПЛАСТИКОВЫМИ ПЛАТЕЖНЫМИ СРЕДСТВАМИ

В последнее время значительное распространение получают операции банков с пластиковыми платежными карточками. Вместе с тем, прослеживается тенденция к росту потерь банков, которые осуществляют такой вид деятельности, из-за мошенничества с пластиковыми платежными карточками. Поэтому банки вынуждены обращать большое внимание на обеспечение безопасности этих операций. На сегодня банковские учреждения уже имеют соответствующий опыт по обеспечению безопасности таких операций, в целом основывается на комплексном подходе организации их защиты в течение всех циклов, из которых эти операции складываются. В частности, такой подход включает:

- Разработка и совершенствование нормативной базы технологий как самих платежных карт, так и операций с ними;

- Противодействие потери банков от мошеннических действий в процессе эмиссии и эквайринга;

- Обучение сотрудников банка и предприятий торговли (услуг) и сдачи ими квалификационных экзаменов на допуск к работе с банковскими продуктами - платежными карточками.

Среди документов банка, регулирующих те или иные виды его деятельности, подходящее место занимают документы по обеспечению банковской безопасности, в том числе и операций с платежными картами. Базу для формирования нормативных документов по безопасности операций с платежными картами создают Положения НБУ "О порядке эмиссии платежных карточек и осуществления операций с их применением», утвержденное Постановлением Правления НБУ № 367 27 августа 2001, и Положения НБУ "О введении пластиковых карточек международных платежных систем в расчетах за товары, предоставленные услуги и при выдаче наличности », утвержденное Постановлением № 37 от 24 февраля 1997 Учитывая особенность работы с платежными картами, нормативному регулированию подлежат следующие вопросы:

- Обеспечение безопасности работы, связанной с эмиссией карт;

- Действия банка, направленные на минимизацию рисков от операций с платежными картами;

- Обеспечение безопасности во время предоставления услуг по платежным картам и работы с овердрафтного задолженностью клиентов.

Обучение сотрудников банка, осуществляющих операции с платежными картами, предусматривает овладение ими необходимыми навыками подготовки и составления договоров на оказание соответствующих услуг, проверки клиентов, принятия решения о сотрудничестве с конкретными клиентами. Такие работники должны уметь применять действия, необходимые для сопровождения операций с платежными картами, а при нарушении установленного порядка (технологии) - действия в соответствии с условиями нарушения.

Основные потери от мошенничества с платежными картами несут банки-эмитенты, поскольку практически все известные методы мошенничеств построены на несанкционированном списании средств со счетов клиентов эмитента.

В минимизации потерь банка в процессе эмиссии можно выделить следующие основные моменты обеспечения безопасности:

- Обеспечение физической (защита и охрана помещений и оборудования подразделений, выполняющих соответствующую работу с платежными карточками) и технологической (обеспечение безопасности каждого технологического цикла) безопасности процесса производства карт, разбирательствам транзакций и обеспечение процесса авторизации;

- Обеспечение оптимального уровня проверки персональных данных потенциальных держателей платежных карт;

- Обеспечение информационно-аналитической деятельности по раннему выявлению мошеннических действий с платежными карточками.

Основной задачей безопасности во время процесса эмиссии является исключение возможности исчезновения заготовок карт, сохранение в тайне информации о параметрах платежных карт и недопущения злоупотреблений в процедуре изготовления карт работниками банка.

Все технологические зоны эмиссионного процесса (хранилище для заготовок и персонализированных карт, помещения для эмбоссирование, печать ПИН-конвертов, помещения авторизации, компьютерный зал) должны быть территориально разделены и оборудованы определенной системой охраны.

По оценкам банков, предварительная проверка клиентов является одним из важнейших условий обеспечения безопасности работы с платежными карточками и снижение объема потерь. Результаты от этих мероприятий позволяют выявить на начальном этапе работы с заявителем лиц, стремящихся получить пластиковую карту мошенническим способом (по поддельным, недействительным документам, представлением о себе ложной информации).

Эта работа может вестись по двум направлениям:

- Предварительная проверка физических лиц и организаций при решении вопроса о выдаче платежной карточки;

- Предварительная проверка юридических лиц перед заключением договора на эквайринг.

Для решения задачи по первому направлению некоторые банки условно разделяют клиентов по группам риска на основании двух главных принципов:

- Возможности установления местонахождения клиента;

- Возможности взыскания допущенной овердрафтного задолженности.

На этой основе все заявители делятся на две группы:

- Граждане Украины (потенциальные группы риска - пенсионеры, домохозяйки, студенты, временно неработающие, лица с нестабильным уровнем дохода);

- Не граждане Украины (ближнее и дальнее зарубежье, сотрудники представительств иностранных государств на территории Украины).

Обязательными условиями для всех клиентов при решении вопроса о выдаче платежной карты является наличие постоянного источника доходов (работы), соблюдение правил о порядке регистрации граждан на территории Украины, контактные телефоны, проверка анкетных данных клиента на предмет их достоверности. По результатам проверки делается заключение о целесообразности предоставления клиенту данного вида банковских услуг. Особое внимание уделяется клиентам, которые относятся к категории повышенного риска. Кроме информационно-аналитической оценки анкетных данных клиента может быть осуществлена проверка с выездом по адресу, указанному в анкете.

Обязательным условием заключения договора на эквайринг является проверка торгово-сервисных пунктов. Сначала осуществляется информационно-аналитическая оценка документов клиента, а затем выезд на фирму. Во время выезда могут быть решены следующие задачи:

- Обзор фактического нахождения организации; встреча с руководством фирмы;

- Ознакомление с персоналом, ответственным за проведение операций по картам;

- Организация учета и хранения слипов;

- Организация контроля со стороны руководства фирмы за работой персонала.

Организация работы с клиентами, которые допустили овердрафтное задолженность, осуществляется таким же образом, как с клиентами, которые имеют кредитную задолженность.

Как показывает опыт большинства коммерческих банков Украины - членов платежных систем, пластиковые платежные средства дают возможность оперировать только имеющимися на счете держателя карточки средствами путем безналичных расчетов. Каждая операция (в том числе и пользование банкоматом) сопровождается выдачей держателю первого экземпляра платежного документа (слипа) или квитанции из банкомата.

Платежные карты должны приниматься для оплаты товаров и различных услуг предприятиями торговли и сервисных пунктов в Украине и за ее пределами (если карта международная). В случае потери карточки ее держатель обязан немедленно известить об этом банк-эмитент.

Эмитенты карт должны информировать сеть сервисных организаций о номерах карт, которые признаны недействительными: украдены, потеряны, фальсифицированные, фальшивые. Такая информация доводится в виде списка номеров платежных карт, который называется «стоп-листом». Это список карт, которые должны быть изъяты у клиента, где бы они ни подавались к уплате.

Работая в эквайринговой среде, банк-эмитент устанавливает авторизационный лимит, то есть минимальную сумму сделки, выше которой авторизация обязательна. Часто в договоре с предприятием специально указывается, что размер авторизационного лимита является коммерческой тайной и не подлежит разглашению клиентам. Эмитенты могут периодически менять указанный выше лимит.

Перед тем, как принимать платежную карточку к оплате за товары и услуги, сотрудник предприятия (кассир) обязан:

- Проверить срок действия пластиковой карты, указанный на ней;

- Проверить, нет ли карта каких-либо механических повреждений, поправок и подчисток в реквизитах;

- Удостоверить личность ее держателя;

- Проверить номер платежной карточки за «стоп-листом», после чего с помощью соответствующего оборудования оформляется данная платежная операция. Счет (слип) оформляется в трех экземплярах: для держателя, банк-эмитент и предприятия торговли (услуг), где выполняется эта операция. На всех трех экземплярах счета (слипа) должны быть четко отражены номер карты, имя держателя и срок ее действия. Полученный счет (слип) является официальным документом, который подтверждает проведение платежной операции. Слип не должен иметь исправлений, подчисток, ибо в таком случае он признается недействительным;

- В графу «тотал» вписать сумму проданного товара;

- Предложить держателю подписать слип (обязательно в присутствии кассира или другого уполномоченного лица), сверить подпись на слипе с подписью в карточке (эти подписи должны быть одинаковыми)

- Пробить на кассовом аппарате (по отдельному для каждого кассира паролем) сумму покупки;

- Вернуть держателю платежной карты с первым экземпляром счета, второй оставить в магазине, а третий - отправить в банк.

В случае каких-либо сомнений в подлинности карты или превышения авторизационного лимита производится авторизация.

При отсутствии в магазине (гостиницы, рестораны и т. п.) электронного терминала, который работает постоянно, с основным компьютером системы, осуществляется голосовая авторизация. Необходимо отметить, что в международной практике существуют ситуации, когда разрешение не проводится. Это делается для удобства клиентов, а также для снижения нагрузки на телефонную линию. При этом стороны заранее оговаривают минимальную сумму, которую разрешается потратить, не проверяя платежеспособность клиента. В Украине этот метод пока не имеет распространения, поскольку большинство украинских карт - дебетовые, т.е. их держатели могут распоряжаться только теми деньгами, которые есть на их счету.

Процедура голосовой авторизации заключается в том, что кассир звонит в авторизационный центр, обслуживающий расчеты по карточкам. При этом называются основные реквизиты - номер карты, имя и фамилию держателя карты, а также сумма, на которую покупается товар или предоставляются услуги. Оператор центра, пригласив в компьютере необходимые данные, может дать один из трех вариантов ответа. Сразу сделка совершается только в первом варианте - в случае ответа, что карта действует и необходимая сумма может быть использована. Второй вариант: с картой все в порядке, но сумма слишком велика. В этом случае нужно или подобрать что-то подешевле и повторить авторизацию, или отказаться от покупки. Третий вариант ответа - карта аннулирована, то есть владелец заявил о ее потере (в случае потери или кражи), или банк сам прекратил отношения с недобросовестным клиентом. В этом случае поступает команда задержать карточку. Некоторые банки в своих инструкциях по осуществлению операций с платежными пластиковыми карточками рекомендуют в случае невозможности изъятия карточки получить максимальную информацию о лице, его предъявившего.

Электронный терминал позволяет автоматизировать операцию разрешения и обращения к счету клиента. В этом случае код считывается с магнитной полосы. Связь осуществляется по тем же телефонным линиям, но с помощью модема. Соответствие подписи проверяется визуально.

И, наконец, получение наличных с помощью электронного банкомата. Банкомат - это устройство, соединенное с центральным компьютером в режиме OFF-LINE, что автоматически делает авторизацию и, если все в порядке, выдает наличные. Еще при оформлении карты клиент получает, помимо самой карты, запечатанный конверт, содержащий РИN-код - цифровой код, который известен только ему (не знает код даже банк; код автоматически наносится на бумагу и запечатывается в конверт при выдаче карты, определить РИN- код, обратившись к компьютеру банка, невозможно, поскольку на магнитной полосе его тоже нет).

Иногда клиенту дают возможность во время получения карты самостоятельно набрать этот код на специальной закрытой клавиатуре. Это похоже на кодирование в автоматической камере хранения. При выдаче наличных банкомат в определенный момент спрашивает РИN-код. За попытки трижды набрать неправильный ошибочный РИN-код банкомат захватывает карту. То же самое происходит, если результат авторизации отрицательный. Когда все хорошо, владелец карты получает наличные, а также, по желанию, выписку о состоянии счета, сумма на котором изменилась по команде устройства. Можно обратиться за помощью банкомата и просто для того, чтобы получить информацию о свой текущий счет. Клиент, потерявший (или забыл) код, может быть оштрафован, поскольку соглашения в такой ситуации предусматривают замену карты.

Пластиковой карточкой может пользоваться только то лицо, имя и фамилия которого нанесены на лицевую сторону карты, ее нельзя передавать другим лицам.