22 февраля, суббота 13:09
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Безопасность платежей через Интернет (Альфа-Банк)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Безопасность платежей через Интернет (Альфа-Банк)

    Столкнулась сегодня со следующей ситуацией.
    Сделала пожертвование на сайте Википедии со своей банковской карты, указав реквизиты на их сайте.
    Обыкновенно при совершении покупок в Интернете по карте мне на мобильный телефон приходит пароль, который нужно ввести на сайте для подтверждения платежа, после чего средства списываются.
    В этот раз впервые средства списались без этой процедуры. Т.е. фактически, это означает, что любой человек, получив каким-либо способом реквизиты моей карты, не имея физического доступа ни к ней, ни к моему мобильному телефону, может провести платеж на любую сумму без моего подтверждения.
    Попыталась написать в службу поддержки - сайт банка лежит.
    Позвонила в службу поддержки по телефону. Консультант мне ответила, что банк по своему усмотрению может разрешать торговым точкам проводить операции без указания пароля, поскольку, дословно "ожидание может быть слишком долгим, и клиент может передумать" (!!!)
    Со службой безопасности соединять меня отказались, предложив написать претензию или заблокировать карту.

    Вопрос: кто-нибудь с подобным еще сталкивался? В данном банке, в других банках?

    В идеале хотелось бы получить комментарий сотрудников любой банковской службы безопасности.

    Спасибо.

  • #2
    Сообщение от mswirt Посмотреть сообщение
    Обыкновенно при совершении покупок в Интернете по карте мне на мобильный телефон приходит пароль, который нужно ввести на сайте для подтверждения платежа, после чего средства списываются.
    А это записано в договоре на дистанционное обслуживание пластиковой карты? Тогда требуйте выполнения договора банком для любого платежа.
    Сообщение от mswirt Посмотреть сообщение
    средства списались без этой процедуры.
    Возможности и условия совершения платежа без этой процедуры тоже записана в том же договоре? Если "нет", то см. ответ на первый вопрос. Если "да" и Ваш платеж попал под эти условия - то к банку претензий быть не может.
    Mina ainult õlu armastan! (rahva Eesti)

    Комментарий


    • #3
      Откровенно говоря, у меня есть подозрение, что я вообще физически не подписывала никаких договоров, т.к. карта была открыта в рамках зарплатного проекта )
      Но вообще надо проверить.

      И все-таки, как это с т.зр. общей практики обеспечения безопасности? Я пообщалась с коллегами и узнала, что такое характерно для иностранных торговых точек (видимо раньше покупала только в российских и украинских, потому не сталкивалась).

      Комментарий


      • #4
        Сообщение от mswirt Посмотреть сообщение
        у меня есть подозрение, что я вообще физически не подписывала никаких договоров, т.к. карта была открыта в рамках зарплатного проекта )
        Но вообще надо проверить.

        И все-таки, как это с т.зр. общей практики обеспечения безопасности?
        Есть инфо на официальном сайте банка (тынц...):
        Как Банк заботится о Вашей безопасности
        •Безопасность сайта проверена крупнейшей сертификационной организацией Thawte и соответствует самым строгим международным стандартам.
        •Вся информация шифруется через защищенный протокол SSL (Secure Sockets Layer).
        •Вход в интернет-банк осуществляется с использованием логина и пароля. В случае пяти попыток входа в интернет-банк с использованием неверной комбинации «логин-пароль» доступ в интернет-банк блокируется.
        •Для ввода Вашего пароля может быть использована виртуальная клавиатура (с целью защиты информации от вирусов – клавиатурных перехватчиков).
        Каждая операция в интернет-банке подтверждается с использованием альтернативного канала связи (SMS). Никто не сможет совершать операции по Вашему счету без Вашего ведома, поскольку для осуществления любой операции необходимо ввести одноразовый пароль, полученный посредством SMS на Ваш мобильный телефон.
        •Вся информация хранится на сверхзащищенных серверах Банка. Никто не сможет получить доступ к Вашей личной информации.
        •Номер Вашего мобильного телефона и номера Ваших банковских карт дополнительно защищены: часть цифр в них всегда закрыта звездочками.
        •Сессия в интернет-банке автоматически прерывается в результате отсутствия активности в течение 15 минут – это имеет целью защитить Вас в случае, если Вы забудете отключить интернет-банк, отойдя от компьютера.
        То, что выделено - банк не выполняет. Требуйте разъяснений в том, почему банк не выполняет собственных обязательств по обеспечению безопасности Ваших платежей.
        Mina ainult õlu armastan! (rahva Eesti)

        Комментарий


        • #5
          Сообщение от mswirt Посмотреть сообщение
          т.зр. общей практики обеспечения безопасности?
          Вы говорите о т.н. 3D secure, системе обеспечения безопасности посредством трехсторонней аутентификации. Указанная система признана на текущий момент передовой практикой и в процедуре оплаты введена система переноса ответственности. То есть тот участник (банк, выпустивший карту, и банк, обслуживающий точку), который не участвует в процедуре проверки, несёт ответственность за платёж, в случае неправомочного использования реквизитов карты.
          При этом инициирует процедуру проверки торговая точка. Вместе с запросом не проведение операции она посылает запрос на проверку одноразового пароля.
          Еслит орговая точка не послала такой запрос, Ваш банк не будет посылать Вам одноразовый пароль, так как вводить его некуда.
          В рамках данной операции, в случае возникновения мошенничества, финансовая ответственность будет лежать на торговой точке.
          Вполне возможно, что-то изменилось в системе обслуживания точки, и Ваш банк тут не при чём, в остальных случаях по запросу он будет присылать Вам одноразовый пароль.

          фактически, это означает, что любой человек, получив каким-либо способом реквизиты моей карты, не имея физического доступа ни к ней, ни к моему мобильному телефону, может провести платеж на любую сумму без моего подтверждения.
          В конкретной точке оплаты - да. С другой стороны, личный интерес мошенника, использующего реквизиты чужой карты, рискуя и нарушапя закон, ради пожертвования в пользу википедии представить себе сложно. (это т.н. точка низкого уровня риска).
          Вероятнее и целесообразнее всего использовать данные чужой карты для заказа высоколиквидного товара, покупки каких-нибудь суррогатных денег (пэйпэлл, яндекс мани и т.п.).

          Если "ставить диагноз по фотографии", мне видится, что википедия перешла к другому банку, который берёт за обработку платежей меньшую % ставку за счёт использования менее защищенных технологий, так как уровень предполагаемого риска в данной точке оплаты минимален. Поэтому Ваш банк не получил запрос на проверку одноразового пароля и поэтому Ваш банк не послал Вам его

          ПС: к Вашему банку я не имею отношения.

          Комментарий


          • #6
            Спасибо!

            Каждая операция в интернет-банке подтверждается с использованием альтернативного канала связи (SMS). Никто не сможет совершать операции по Вашему счету без Вашего ведома, поскольку для осуществления любой операции необходимо ввести одноразовый пароль, полученный посредством SMS на Ваш мобильный телефон.
            Вопрос в том, что они называют "операциями в интернет-банке" - если только те, которые совершаются с использованием банковского клиента, у них на сайте, то платежи, сделанные на других сайтах, сюда не войдут.
            Но вообще вы правы, надо исследовать документацию.

            Комментарий


            • #7
              Сообщение от Иван Федотов Посмотреть сообщение
              С другой стороны, личный интерес мошенника, использующего реквизиты чужой карты, рискуя и нарушапя закон, ради пожертвования в пользу википедии представить себе сложно. (это т.н. точка низкого уровня риска).
              Вероятнее и целесообразнее всего использовать данные чужой карты для заказа высоколиквидного товара, покупки каких-нибудь суррогатных денег (пэйпэлл, яндекс мани и т.п.).
              Это все понятно, но вопрос не столько технический, сколько политический. Он формулируется примерно так: "На каком основании банк распоряжается моими средствами без моего согласия?" Мало ли с кем у него там договор - свои средства пускай гоняет как хочет, но при чем тут клиенты?... Т.е. я хочу контролировать операции со своими средствами, и для достижения этой цели пользуюсь услугами и продуктами банка (Интернет-клиент, смс-уведомление и т.п.), а банк данной ситуацией дает мне понять, что этот контроль фиктивен. Встает вопрос, зачем мне тогда нужен такой банк.
              Вот я к чему.

              Комментарий


              • #8
                Вы видимо путаете аутентификацию клиента посредством SMS при описанном ниже процессе 3D Secure и услугу SMS-банкинга для уведомления о проведённых платежах. Судя по Вашим словам, первое у Вас есть и реализовано именно через SMS. Про второе уточните. Например, наводящий вопрос - когда снимаете деньги в банкомате, SMS прилетает? Если прилетает, то у уточните у Альфы по поводу этой SMS (хотя, как вариант, Вы могли быть и недоступны). Рано и голословно пока говорить о фиктивности контроля.

                "На каком основании банк распоряжается моими средствами без моего согласия?"
                А кто вводил реквизиты для оплаты в пользу Википедии? Если хотите опротестовать платёж, то надо писать претензию о мошенничестве. Вам закроют карту и будут оспаривать операцию. Этого Вы желаете?

                Комментарий


                • #9
                  Сообщение от M.Potter Посмотреть сообщение
                  Судя по Вашим словам, первое у Вас есть и реализовано именно через SMS
                  Человек пишет, что так и реализовано. За исключением платежей в пользу Википедии:
                  Сделала пожертвование на сайте Википедии со своей банковской карты, указав реквизиты на их сайте.
                  Обыкновенно при совершении покупок в Интернете по карте мне на мобильный телефон приходит пароль, который нужно ввести на сайте для подтверждения платежа, после чего средства списываются.
                  В этот раз впервые средства списались без этой процедуры.
                  Хотя на сайте банка никаких оговорок "о платежах на Википедию" нет. Банк заявляет, что любой платеж должен быть подтвержден паролем, который приходит на телефон клиента по SMS:
                  Сообщение от !Сергуня Посмотреть сообщение
                  Каждая операция в интернет-банке подтверждается с использованием альтернативного канала связи (SMS). Никто не сможет совершать операции по Вашему счету без Вашего ведома, поскольку для осуществления любой операции необходимо ввести одноразовый пароль, полученный посредством SMS на Ваш мобильный телефон.
                  Вот ТС и удивляется - почему так?
                  Mina ainult õlu armastan! (rahva Eesti)

                  Комментарий


                  • #10
                    Да не каждый платёж (хотя можно конечно и к буквам поцепляться, но пусть этим юристы занимаются если не лень). По сути Иван Федотов писал же ниже. Т.е. суть такова - если сайт 3Dсекурный, то требуется аутентификация, а если не 3Dсекурный, то не требуется ибо риски на сайте и оспаривается такой платёж на раз-два-три.

                    Комментарий


                    • #11
                      Зачем так много слов? Представьте, что Вы - не банковский работник, а потребитель банковской услуги (как топикстартер).

                      Нафига топикстратеру Ваши знания технических подробностей, когда он, допустим, махровый гуманитарий и Ваши разъяснения элементарно не воспринимает и даже не желает воспринимать?

                      Представьте, что Вы сотрудник Альфа Банка, который обещает, шо "ни один платеж с пластика не уйдет без посылки пароля картхолдеру по SMS и его согласия на платеж путем ввода энтого пароля в Интернет-Банке". Но в реале картхолдер четко ощутил, шо все энти клятвенные заверения Альфа-Банка - это, я извиняюсь, "ботва"... Картхолдер, я извиняюсь, читает в Интернет одно (публичную оферту с обещаниями), а в жизни видит и ощущает несоответствующее той публичной оферте.

                      Картхолдер просто элементарно желает получить ответ на вопрос - "почему платеж на Википедию ушел без ввода им пароля? Хотя Альфа-банка обещал, шо ни один платеж без ввода пароля картхолдером уйти не может"?

                      ЗЫ Технические детали не рассказывайте. Если можете, ответьте на вопрос - почему Альфа-банк не выполняет своих публичных обещаний?
                      Если ответа не знаете (типа, не входит в Вашу компетенцию), то не отвечайте. Либо честно скажите "за ботву Альфа-Банка ответственности нести не могу"
                      Последний раз редактировалось !Сергуня; 03.08.2013, 18:05.
                      Mina ainult õlu armastan! (rahva Eesti)

                      Комментарий


                      • #12
                        За "ботву Альфа-банка нести ответсвенность не могу" т.к. не владею всей полнотой информации. Могу предполагать: речь идёт не об интернет-банке (следовательно правила ни о чём), информация на сайте не документ по сути (клиенту надо читать договор со всеми приложениями), неточность информации на сайте (человеческий фактор). Формально Вы правы, но точнее ответят сотрудники Альфы по письменному заявлению.

                        Комментарий


                        • #13
                          Сообщение от !Сергуня Посмотреть сообщение
                          Зачем так много слов?
                          Чтобы сформировать у клиента понимание процедуры, без этого объяснения частностей пусты.


                          Сообщение от !Сергуня Посмотреть сообщение
                          Альфа-банка обещал, шо ни один платеж без ввода пароля картхолдером уйти не может"?
                          Альфа-банк всё же обещал, что платежи в интернет-банке без смс-пароля не пройдут. И скорее всего так и происходит. Как минимум из задачи ТС обратного ен следует.
                          В рассматриваемом случае клиент проводил оплату в магазине, и интернет-банком не пользовался.

                          Вопрос пользователя услуг был: кто-нибудь с подобным еще сталкивался? В данном банке, в других банках?
                          В идеале хотелось бы получить комментарий сотрудников любой банковской службы безопасности.

                          На него был дан ответ.

                          Сообщение от mswirt Посмотреть сообщение
                          На каком основании банк распоряжается моими средствами без моего согласия?
                          Почему это БЕЗ Вашего согласия? Разве не Вы проводили платёж?
                          И договор у банка именно с Вами.

                          Также, думаю (по крайней мере у нас - так), можно обратиться в банк и установить на карту свои собственные ограничения и системы контроля, как Вам видется лучше.

                          Комментарий


                          • #14
                            Сообщение от !Сергуня Посмотреть сообщение
                            Зачем так много слов? Представьте, что Вы - не банковский работник, а потребитель банковской услуги (как топикстартер).
                            Вы меня абсолютно правильно поняли.

                            В дополнение замечу, что, являясь потребителем банковских услуг, я еще и являюсь профессиональным ИТ-аналитиком, несколько лет работающим в сфере разработки банковского ПО.
                            И данная ситуация у меня ничего кроме как "вы чо, о***ли?" не вызывает.

                            Но это так, лирика )

                            По существу все понятно, спасибо за мнения.

                            Комментарий

                            Обработка...
                            X