Не будем разбираться, кто виноват в таком положении вещей, а рассмотрим, что представляет собой защита кредитных карт и как она организовывается платежными системами, банками и держателями. НОЧУ ДПО "ИСБД" предлагает посетить единственный в своем роде семинар-практикум, в ходе которого комплексно раскрываются проблемы безопасности, механизмы защиты пластиковых карт, защита банкоматов, а также методы борьбы с мошенничеством и расследование преступлений. На семинаре пройдет демонстрация поддельных карт и представлены способы их изготовления.

Содержание мероприятия:

Основные угрозы и эффективный фрод-мониторинг в дистанционной коммерции:

- Основные Угрозы 2015-2017гг.; 
- Основные уязвимости (интернет банк, мобильный банк, интернет коммерция);
- Основные каналы хищенияю;
- Мошенническое использование Р2Р сервисов и меры противодействия; 
- Основные требования к системе мониторинга; 
- Оптимальная архитектура системы мониторинга. 

Банкоматное мошенничество

Что такое банкоматное мошенничество?

Риски эмитента / эеквайера. Обзор видов банкоматного мошенничества.

Скиммеры, накладки, камеры, эдвантеры, поддельные банкоматы.

Установка несанкционированных устройств со "вскрытием" банкоматов. Вредоносные "скимминговые" программы. Обзор зарубежного "опыта" банкоматного мошенничества.

Защита банкоматов. Пассивные системы защиты (антискимминговые накладки, джиттеры) в т.ч. негативные факторы их использования. Активные системы защиты (электромагнитные направленные излучатели и т.д.).

Физический контроль, мониторинг, физический контроль, EMV технологии.

Основные способы мошенничества. Получение ПК по поддельным документам. Получение ПК при внесении на карточный счет незначительной суммы и интенсивное использование для оплаты покупок ниже лимита авторизации. Поддельные ПК или платежные документы.

Интернет-мошенничество и мошеннические атаки.

Сговор с персоналом. ТСП Фишинг (phishing) и социальная инженерия и их разновидности.

Финансовые потери банка. Овердрафт на счете покрытия карт.

Мошенничество с пластиковыми картами и механизмы их защиты

Суммы несанкционированных операций в пределах счета покрытия. Причины финансовых потерь РИСКИ БАНКА-ЭКВАЙЕРА.

Основные способы мошенничества (со стороны клиентов, по сговору с ТСП, со стороны ТСП). Мошеннические операции в обычных ТСП.

Финансовые потери банка. Мониторинг Ежедневный мониторинг эмитентской активности. Мониторинг авторизаций по стандартам VISA Мониторинг транзакций (при расчетах с торговой точкой) по стандартам VISA.

Online мониторинг эмитентской и эквайринговой активности. Ежедневный мониторинг операций e-Commerce PCI DSS (Payment Card Industry Data Security Standard) by Security Standards Council Visa Data Compromise Recovery solution (с 01.10.2007).

Требования к взаимодействию подразделений Банка в вопросах безопасности и управления рисками.

Централизованное управление и распределение функций, полномочий и ответственности (Центральный офис,филиалы, отделения, региональные подразделения). Жесткое регламентирование процедур (технологии, бизнеса). Консолидация и централизованность принятия решений. Минимализация времени принятия решений по событиям (например, мониторинг – действие).

Требования к взаимодействию участников бизнеса пластиковых карт в вопросах безопасности и управления рисками. Обмен информацией (в т.ч. оперативной).

Совместные действия (банки, процессинги, платежные системы, МВД). Партнерство и сотрудничество. Решение спорных вопросов. Расследование и содействие МВД (консультирование, обучение). Взаимодействие с правоохранительными органами. Сбор и подготовка доказательной базы.

Уголовно-правовая характеристика противоправных деяний с использованием банковских карт (УК РФ). Участие в судебных процессах. Мошеннические операции (авторизованные). Мошеннические операции (безавторизационные).

Не мошеннические операции. Внутренние риски (основные источники). Ненадлежащее хранение готовых карт.

Ненадлежащее хранение средств доступа (логинов, паролей). Учет и документооборот (расписки, акты). Отсутствие контроля (в т.ч. фактические данные / данные бухгалтерского учета).

Неактуальность статусов карт (выдана/не выдана - активна/неактивна). Открытость информации о данных карт (ненадлежащее хранение готовых карт, лишнее ксерокопирование, передача данных в открытом виде.

Безопасность и управление рисками. Формирование регламентно-инструкционной базы. Обеспечение безопасности всех процессов, связанных с выпуском и обслуживанием карт. Принятие решение о выпуске карты.

Проверка клиентов при оформлении карт. Мониторинг операций по картам (наиболее эффективен online мониторинг). Своевременное принятие решений (блокировка карт, блокировка запросов из мошеннических ТСП, взаимодействие с платежными системами, сторонними банками и т.д.).

Расследование преступлений в сфере банковских карт:

- Применение статей Уголовного Кодекса РФ к противоправным действиям в сфере банковских карт: 138.1, 158, 159.3, 159.6, 165, 183, 187, 272, 273 УК РФ.

- Сравнение статей УК РФ 159.3, 159.6 со статьями 158, 159 УК РФ.

- Противоправные действия и уголовная квалификация.

- Постановление Пленума ВС РФ от 27.12.07 N 51 «О судебной практике по делам о мошенничестве, присвоении и растрате».

- Проблема ущерба при использовании карт иностранных эмитентов (ответственность эмитента) в эквайринговой сети российских банков.

- Скимминг и Уголовный Кодекс.

- Проблемы при расследовании преступлений в области платежных карт: мера пресечения, конфликт интересов следствия и дознания, место производства предварительного расследования.

- Гражданское право и преступления в сфере платежных карт.

- Гражданско-правовые и договорные отношения: Эквайрер-ТСП, Эмитент-держатель.

- Федеральный закон №161-ФЗ «О национальной платежной системе»: распределение обязанностей и ответственности между банком и держателем.

- Обязанности эмитента и держателя, риск убытков.

- Способы информирования держателей, взимание платы, время получения клиентом уведомления.

- Несоблюдение клиентом мер безопасности, срок возврата денежных средств.

- Возврат по утраченным картам.

- Потерпевший, гражданский истец по уголовному делу.

- Микропроцессорные карты.

- Атаки, уязвимости EMV: клонирование микропроцессора, атака двумя чипами, утечки по побочным каналам, wedge устройство, pre-play атака, relay атака, шимминг,

- Атаки на бесконтактные карты.

- EMV миграция, уязвимости комбинированных карт.

- Программа ЧИП и ПИН: поддельные карты, банкоматные потери, утраченные карты.

- Атаки на ПОС-терминалы.

- PCI DSS – проблемы, коллизии, рекомендации.

- Различия в требованиях к эквайреру и эмитенту.

- Наличие угроз и уязвимостей при соответствии требованиям PCI.

- PCI DSS и банкоматы.

- PCI DSS и тест на проникновение.

- PCI DSS, EMV, 3D Secure

- PCI DSS и ТСП

- Инциденты в зоне PCI DSS.

- Слабости PCI DSS.

- PCI DSS и Уголовный Кодекс РФ.

- Объективная сторона преступления статей 183, 272, 273 УК РФ при проведении тестов на проникновение.

- Угрозы банкоматам.

- Нормативные документы и рекомендации по безопасности АТМ.

- Физическая безопасность АТМ – кража, взлом, взрыв.

- Технические средства физической безопасности.

- Угрозы банкоматам с функцией приема наличных.

- Скимминг – тенденции и средства защиты.

- Киберугрозы АТМ.

- Вредоносное программное обеспечение для АТМ – атаки, противодействие.

Требования к договорам/соглашениям о дистанционном банковском обслуживании:

№ 382-П в действующей редакции;

судебная практика;

проведение экспертно-криминалистических исследований.

Требования к программно-аппаратным комплексам системы ДБО:

требования по ГК РФ;

требования по статье 10.1 149-ФЗ;

выполнение требований № 382-П;

выполнение требований № 397-П;

требования по Постановлению Правительства № 313;

требования к системе антивирусной защиты по 49-Т;

рекомендации ЭКЦ МВД России для систем ДБО.

Опыт разбора конфликтных ситуаций:

урегулирование споров по направлению и получению уведомления о совершенной операции с использованием ЭСП;

урегулирование споров о смене владельца ЭСП, риски нотариальной практики;

урегулирование спора по распоряжению счетом.

Возможности для противоправной деятельности, предоставляемые технологиями дистанционного банковского обслуживания («электронного банкинга»), и специфические угрозы надежности банковской деятельности.

—- Информационный контур банковской деятельности как новое явление в предоставлении банковских услуг: факторы, обусловливающие изменения в профилях банковских рисков и возникновение новых компонентов банковских рисков

- Особенности информационных потоков кредитной организации при дистанционном банковском обслуживании (ДБО).

Практические варианты противоправной деятельности с использованием технологий и систем электронного банкинга.

- Банкоматные мошенничества, шимминг, фишинг, фарминг, атаки типа «распределенный отказ в обслуживании» и другие.

- Потенциальные атаки со стороны инсайдеров кредитной организации на ее информационные ресурсы.

- Проблематика отмывания денег с помощь систем электронного банкинга.

- Особенности аутсорсинга при формировании информационного контура банковской деятельности.

Организация и обеспечение противодействия возможной противоправной деятельности в условиях ДБО.

- Трактовка принципов корпоративного управления с точки зрения противодействия возможной противоправной деятельности в условиях применения ДБО и  ролевые функции подразделений информационных технологий, обеспечения информационной безопасности, внутреннего контроля и финансового мониторинга.

—- Письма Банка России: № 197-Т от 07.12.2007 «О рисках при дистанционном банковском обслуживании», № 36-Т от 31.08.2008 «Рекомендации по организации управления рисками, возникающими при совершении кредитными организациями операций с применением Интернет-банкинга», № 11-Т от 30.01.2009 «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга», от 01.03.2013 № 34-Т "О рекомендациях по повышению уровня безопасности при использовании банкоматов и платежных терминалов" и др.

-— Принцип адаптации внутрибанковских процессов при ДБО: основания для возникновения новых ролевых функций служб безопасности, внутреннего контроля и финансового мониторинга.

-— Совершенствование управления банковскими рисками и возможные подходы к организации противодействия компьютерным мошенничествам и содержание финансового мониторинга (в широком смысле): Письмо Банка России № 27-Т от 25.02.2013 «О запросе и получении от кредитных организаций информации».

- Взаимосвязь функций обеспечения информационной безопасности, внутреннего контроля и финансового мониторинга.


Стоимость мероприятия: 21900 руб.
Регистрация по телефону: 8 (495) 644-23-52
E-mail: info@isbd.ru