25 июля, вторник 19:52
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Безопасность

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Безопасность

    Уважаемые господа!

    Все нам граждане резиденты и нерезиденты так или иначе доверили свои денежки. За операции с этими денежками все мы с вами несем определенную УГОЛОВНУЮ ответственность... Вообщем тема безопасности платежей очень важна.

    МПС настойчиво и постоянно говорят о своей заботе о безопасности проведения операций с банковскими картами. В то же время все мы знаем о многомиллионных потерях при проведении операций.
    Если Вы хоть мало-мальски знакомы с математикой, принципом функционирования ПО процессинговых центров, алгоритмов криптозащиты, технологии распределения и хранения ключей и т.д. то Вы знаете что в 99,999% случаев избежать несанкционированных операций помогает простая on-line авторизация с набором ПИН-кода. Все беды МПС хранятся не в алгоритмах а в технологических брешах. Проведение off-line авторизаций, оформление покупок через чеки, проведение операций через интернетнет по номерам карт дает огромный простор для злоупотреблений. МПС могут сколь угодно разрабатывать методички для сотрудников центра персонализации: как и в какой одежде им в ходить в помещение где расположен эмбоссер или какой брендмаурер использовать на входе в виртуальный магазин, принимающий карты... и т.д. Эти вещи банками давно соблюдаются и контролируются соответствующими службами безопасности. От убытков, связанных с недобросовесными сотрудниками никто не застрахован. Это доказали даже некоторые российские банки эмитирующие чиповые карты (ЗК и ScanTec). Тут ничего не поделаешь. Это не пробел в технологии а человеческий фактор. Его можно и нужно уменьшить... но речь не о нем.
    По моему мнению, большинство проблем закрываются простым набором ПИН-кода. Это касается как магнитных карт так и чипа. Чип по большому счету отличается тем что саму карту труднее сдублировать или вскрыть на физическом уровне (здесь я не упоминаю вопросы функциональности чипа и магнитки а идет речь о защите информации на уровне оформления операций).
    Насколько я знаю та же ЮК требует обязательной on-line авторизации при проведении операции с обязательным набором ПИН-кода (если нет то советую ввести это правило). И то что в ЮК используется программный HSM а не аппаратный - это не трагедия. "Доморощенный" алгоритм передачи онформации от банкомата до хоста, который так не хотят признавать МПС (что справедливо и для ЗК) говорит не о своей нестойкости (тут как раз ГОСТ-овская математика) а по банальной конкурентной борьбе. Алгоритмы криптозащиты ЗК и ЮК одобрены ФАПСИ и со стороны МПС полная глупость говорить что NDC+ лучше ДЕС советского ГОСТа. Просто ПСиТ и ЦФТ не хотят пускать на рынок как часть холдингов РПС.
    Что касается проведения операций через публичные сети (инет) то тут видимо необходимо поднапрячься Microsoft и Netscape чтобы выдумать технологию безопасной передачи ПИН-блока при авторизации транзакции. Я считаю что авторизовать в сети по номеру карты (а с недавних пор и CVV2) - это изврат, который не решает проблем безопасности и дискредитирует МПС, которая за такие же грехи ругает РПС (скандал с ЮК).
    Вообщем господа... буду рад услышать Ваши мнения о повышении защиты при проведения операций по банковским картам.

    P.S. Миграция на чип решит многие проблемы... но согласитесь ... если проблема миграции стоит преред Европой и Америкой ... то нам до этой миграции - как до луны

  • #2
    Мужик... сейчас в интернете при выносе шлюза или локальных логов продавца уносят только то, чем можно воспользоваться собственно только в самом интернете. Как только ты начнешь пин передавать - можно смело ВСЕ банкоматы закрывать =)
    А еще, мы выгуливаем собак...

    Комментарий


    • #3
      Дык я и говорю что пора ставить аппаратные HSM на компах и обмениваться ключиками с инет-торговцами Забавно? и накладно!

      P.S.
      На самом деле опыт то уже есть - оборудование компа смарт считкой.

      Комментарий


      • #4
        1. Подбор сотрудников,
        2. Контроль,
        3. не болтать о себе,
        4. безопасности есть что посоветовать.
        UNKLE

        Комментарий

        Пользователи, просматривающие эту тему

        Свернуть

        Присутствует 1. Участников: 0, гостей: 1.

        Обработка...
        X