Studentam.net.ua

6.2.4. Забезпечення безпеки роботи банків з пластиковими платіжними засобами

   Останнім часом значного поширення набувають операції банків з пластиковими платіжними картками. Разом з тим, простежується тенденція до зростання втрат банків, які здійснюють такий вид діяльності, через шахрайство з пластиковими платіжними картками. Тому банки вимушені звертати значну увагу на забезпечення безпеки цих операцій. На сьогодні банківські установи вже мають відповідний досвід щодо забезпечення безпеки таких операцій, який у цілому ґрунтується на комплексному підході організації їх захисту протягом усіх циклів, з яких ці операції складаються. Зокрема, такий підхід включає:
- розроблення і вдосконалення нормативної бази технологій як самих платіжних карток, так і операцій з ними;
- протидію втратам банків від шахрайських дій у процесі емісії та еквайрингу;
- навчання співробітників банку та підприємств торгівлі (послуг) і складання ними кваліфікаційних іспитів на допуск до роботи з банківськими продуктами — платіжними картками.
   Серед документів банку, які регулюють ті чи інші види його діяльності, відповідне місце посідають документи щодо забезпечення банківської безпеки, у тому числі й операцій з платіжними картками. Базу для формування нормативних документів з безпеки операцій з платіжними картками створюють Положення НБУ “Про порядок емісії платіжних карток і здійснення операцій з їх застосуванням”, затверджене Постановою Правління НБУ № 367 27 серпня 2001 р., та Положення НБУ “Про впровадження пластикових карток міжнародних платіжних систем у розрахунках за товари, надані послуги та при видачі готівки”, затверджене Постановою № 37 від
24 лютого 1997 р. Ураховуючи особливість роботи з платіжними картками, нормативному регулюванню підлягають такі питання:
- забезпечення безпеки роботи, пов’язаної з емісією платіжних карток;
- дії банку, спрямовані на мінімізацію ризиків від операцій з платіжними картками;
- забезпечення безпеки під час надання послуг з платіжними картками та роботи з овердрафтною заборгованістю клієнтів.
   Навчання працівників банку, які здійснюють операції з платіжними картками, передбачає оволодіння ними необхідними навичками підготовки та складання договорів на надання відповідних послуг, перевірки клієнтів, прийняття рішення про співпрацю з конкретними клієнтами. Такі працівники повинні вміти застосовувати дії, необхідні для супроводження операцій з платіжними картками, а за умови порушення встановленого порядку (технології) — дії відповідно до умов порушення.
   Основні втрати від шахрайств із платіжними картками несуть банки-емітенти, оскільки практично всі відомі методи шахрайств побудовані на несанкціонованому списанні коштів з рахунків клієнтів емітента.
   У мінімізації втрат банку під час процесу емісії можна виділити такі основні моменти забезпечення безпеки:
- забезпечення фізичної (захист та охорона приміщень і обладнання підрозділів, які виконують відповідну роботу з платіжними картками) і технологічної (забезпечення безпеки кожного технологічного циклу) безпеки процесу виробництва карток, процесування трансакцій і забезпечення процесу авторизації;
- забезпечення оптимального рівня перевірки персональних даних потенційних власників платіжних карток;
- забезпечення інформаційно-аналітичної діяльності щодо раннього виявлення шахрайських дій з платіжними картками.
   Основним завданням безпеки під час процесу емісії є виключення можливості зникнення заготівок карток, збереження в таємниці інформації щодо параметрів платіжних карток та недопущення зловживань у процедурі виготовлення карток працівниками банку.
   Усі технологічні зони емісійного процесу (сховище для заготівок і персоналізованих карток, приміщення для ембосування, друкування ПІН-конвертів, приміщення авторизації, комп’ютерний зал) повинні бути територіально розмежовані та обладнані певною системою охорони.
   За оцінками банків, попередня перевірка клієнтів є однією з найважливіших умов забезпечення безпеки роботи з платіжними картками і зниження обсягу втрат. Результати від цих заходів дають змогу виявити на початковому етапі роботи із заявником осіб, які прагнуть одержати пластикову картку шахрайським способом (за підробленими, недійсними документами, наданням про себе неправдивої інформації тощо).
   Ця робота може вестись за двома напрямками:
- попередня перевірка фізичних осіб і організацій під час вирішення питання про видачу платіжної картки;
- попередня перевірка юридичних осіб перед укладанням договору на еквайринг.
   Для вирішення завдання щодо першого напрямку деякі банки умовно розділяють клієнтів за групами ризику на підставі двох головних принципів:
- можливості встановлення місцезнаходження клієнта;
- можливості стягнення допущеної овердрафтної заборгованості.
   На цій основі всі заявники поділяються на дві групи:
- громадяни України (потенційні групи ризику — пенсіонери, домогосподарки, студенти, тимчасово непрацюючі, особи з нестабільним рівнем прибутку);
- не громадяни України (близьке й далеке зарубіжжя, співробітники представництв іноземних держав на території України).
   Обов’язковими умовами для всіх клієнтів при вирішенні питання про видачу платіжної картки є наявність постійного джерела прибутків (роботи), дотримання правил про порядок реєстрації громадян на території України, контактні телефони, перевірка анкетних даних клієнта на предмет їх достовірності. За результатами перевірки робиться висновок про доцільність надання клієнту даного виду банківських послуг. Особлива увага приділяється клієнтам, які належать до категорії підвищеного ризику. Крім інформаційно-аналітичної оцінки анкетних даних клієнта може бути здійснена перевірка з виїздом за адресою, зазначеною в анкеті.
   Обов’язковою умовою укладення договору на еквайринг є перевірка торговельно-сервісних пунктів. Спочатку здійснюється інформаційно-аналітична оцінка документів клієнта, а потім виїзд на фірму. Під час виїзду можуть бути вирішені такі завдання:
- огляд фактичного місця розташування організації; зустріч із керівництвом фірми;
- ознайомлення з персоналом, відповідальним за проведення операцій з картками;
- організація обліку і зберігання сліпів;
- організація контролю з боку керівництва фірми за роботою персоналу.
   Організація роботи з клієнтами, які допустили овердрафтну заборгованість, здійснюється у такий же спосіб, як і з клієнтами, які мають кредитну заборгованість.
   Як показує досвід більшості комерційних банків України — членів платіжних систем, пластикові платіжні засоби дають змогу оперувати тільки наявними на рахунку держателя картки коштами шляхом безготівкових розрахунків. Кожна операція (в тому числі і користування банкоматом) супроводжується видачею держателю картки першого примірника платіжного документа (сліпа) або квитанції з банкомата.
   Платіжні картки повинні прийматися для оплати товарів і різних послуг підприємствами торгівлі і сервісних пунктів в Україні і за її межами (якщо картка міжнародна). У разі втрати картки її держатель зобов’язаний негайно сповістити про це банк-емітент.
   Емітенти карток мусять інформувати мережу сервісних організацій про номери карток, які визнані недійсними: украдені, загублені, фальсифіковані, фальшиві. Така інформація доводиться у вигляді списку номерів платіжних карток, який називається “стоп-листом”. Це список карток, які мають бути вилучені у клієнта, де б вони не пред’являлись до сплати.
   Працюючи в еквайринговому середовищі, банк-емітент встановлює авторизаційний ліміт, тобто мінімальну суму операції, вище якої авторизація є обов’язковою. Часто в договорі з підприємством спеціально вказується, що розмір авторизаційного ліміту є комерційною таємницею і не підлягає розголошенню клієнтам. Емітенти можуть періодично змінювати вказаний вище ліміт.
   Перед тим, як приймати платіжну картку до оплати за товари і послуги, співробітник підприємства (касир) зобов’язаний:
- перевірити термін дії пластикової картки, зазначений на ній;
- перевірити, чи не має картка яких-небудь механічних пошкоджень, поправок і підчищень у реквізитах;
- засвідчити особистість її держателя;
- перевірити номер платіжної картки за “стоп-листом”, після чого за допомогою відповідного обладнання оформляється дана платіжна операція. Рахунок (сліп) оформлюється у трьох примірниках: для держателя, банку-емітента і підприємства торгівлі (послуг), де виконується ця операція. На всіх трьох примірниках рахунку (сліпу) мають бути чітко відбиті номер картки, ім’я держателя і термін її дії. Отриманий рахунок (сліп) є офіційним документом, що підтверджує проведення платіжної операції. Сліп не повинен мати виправлень, підчищень, бо в такому разі він визнається недійсним;
- у графу “тотал” вписати суму проданого товару;
- запропонувати держателю картки підписати сліп (обов’язково в присутності касира або іншої уповноваженої особи), звірити підпис на сліпі з підписом у картці (ці підписи мають бути однаковими);
- пробити на касовому апараті (за окремим для кожного касира паролем) суму покупки;
- повернути держателю платіжну картку з першим примірником рахунку, другий залишити в магазині, а третій — надіслати в банк.
   У разі будь-яких сумнівів щодо справжності картки або перевищення авторизаційного ліміту проводиться авторизація.
   За відсутності в магазині (готелі, ресторані і т. п.) електронного термінала, який працює постійно, з основним комп’ютером системи, здійснюється голосова авторизація. Необхідно зазначити, що у міжнародній практиці існують ситуації, коли авторизація не проводиться. Це робиться для зручності клієнтів, а також для зниження навантаження на телефонну лінію. При цьому сторони наперед обумовлюють мінімальну суму, яку дозволяється витратити, не перевіряючи платоспроможність клієнта. В Україні цей метод поки що не має поширення, бо більшість українських карт — дебетові, тобто їхні держателі можуть розпоряджатися тільки тими грошима, що є на їхньому рахунку.
   Процедура голосової авторизації полягає в тому, що касир телефонує в авторизаційний центр, що обслуговує розрахунки за картками. При цьому називаються основні реквізити — номер пластикової картки, прізвище та ім’я держателя картки, а також сума, на яку купується товар або надаються послуги. Оператор центру, запросивши в комп’ютері необхідні дані, може дати один із трьох варіантів відповіді. Відразу угода відбувається тільки в першому варіанті — у разі відповіді, що картка чинна і необхідна сума може бути використана. Другий варіант: із карткою усе в порядку, але сума занадто велика. У цьому разі треба або підібрати щось дешевше і повторити авторизацію, або відмовитися від купівлі. Третій варіант відповіді — картка анульована, тобто власник заявив про її втрату (у разі втрати або крадіжки), або банк сам припинив відносини з несумлінним клієнтом. У цьому випадку надходить команда затримати картку. Деякі банки у своїх інструкціях щодо здійснення операцій з платіжними пластиковими картками рекомендують у разі неможливості вилучення картки одержати максимальну інформацію про особу, що її пред’явила.
   Електронний термінал дає змогу автоматизувати операцію дозволу і звертання до рахунку клієнта. У цьому випадку код зчитується з магнітної смуги. Зв’язок здійснюється по тих же телефонних лініях, але за допомогою модему. Відповідність підпису перевіряється візуально.
   І, нарешті, одержання готівки за допомогою електронного банкомата. Банкомат — це пристрій, сполучений із центральним комп’ютером у режимі OFF-LINE, що автоматично робить авторизацію і, якщо усе в порядку, видає готівку. Ще при оформленні картки клієнт одержує, крім самої картки, запечатаний конверт, що містить РІN-код — цифровий код, який відомий тільки йому (не знає код навіть банк; код автоматично наноситься на папір і запечатується в конверт при видачі картки; визначити РІN-код, звернувшись до комп’ютера в банку, неможливо, бо на магнітній смузі його теж немає).
   Іноді клієнту дають можливість під час отримання картки самостійно набрати цей код на спеціальній закритій клавіатурі. Це схоже на кодування в автоматичній камері схову. Під час видачі готівки банкомат у певний момент запитує РІN-код. За спроби тричі набрати неправильний помилковий РІN-код банкомат захоплює картку. Те саме відбувається, якщо результат авторизації негативний. Коли ж усе гаразд, власник картки одержує готівку, а також, за бажанням, виписку про стан рахунку, сума на якому змінилася за командою пристрою. Можна звернутися за допомогою банкомата і просто для того, щоб одержати інформацію про свій поточний рахунок. Клієнт, що втратив (або забув) код, може бути оштрафований, оскільки угоди у такій ситуації передбачають заміну картки.
   Пластиковою карткою може користуватися тільки та особа, ім’я і прізвище якої нанесені на особову сторону картки, її не можна передавати іншим особам.