Доверие Клиентов к Банку определяется высоким качеством обслуживания Клиентов, заботой о безопасности их вкладов и обеспечением безопасного совершения операций Клиентом в любое время.
К сожалению, “раз в год и палка стреляет”, а что можно сказать про безопасность карт Клиентов при наличие таких «дыр»?
Безопасность информации – это прежде всего исключение человеческого фактора, применение надежных решений и выполнения требования стандартов безопасности.
Все требования безопасности могут быть реализованы при использовании в качестве устройств считывания информации с платежной карты не «ридеров», а интеллектуальных «контроллеров магнитных карт», которые предназначены для считывания информации с магнитной полосы, ее обработки, выделения минимально достаточной информации (менее общих данных) для функционирования СКУД, и передачи этих данных по надежным каналам, рассчитанным на достаточное (не менее 100 м) удаление «контроллеров магнитных карт» от центральных анализирующих или обслуживающих контроллеров управления СКУД в соответствии с требованиями PSI DSS.
НАДЕЖНОСТЬ
Вторым важным вопросом при выборе СКУД для организации зон самообслуживания «24х7» является обеспечение уверенного и надежного считывания данных с магнитной полосы платежной карты в широком диапазоне скоростей. Надо учитывать, что реальная скорость проведений карты Клиентом через зону считывания не является стабильной, Клиент достаточно редко использует карту для доступа в зону самообслуживания и не имеет навыков свойственным сотрудникам банков, а также возрастные особенности Клиента.
Анализ этих аспектов показывает, что Клиенты могут «проводить» картой со скоростями от 30 мм/сек (считывание карты за 2.5 сек, ее бережное использование свойственно пожилым людям и людям «с ограниченными возможностями») до 2000 мм/сек («резкая молодежь»). СКУД должны быть адаптированы к таким особенностям Клиентов и не ограничивать их.
«Контроллеры магнитных карт» должны устойчиво работать не только с новыми картами, но и уверенно считывать карты, которые уже были в работе, т.к. сегодня банки предоставляют карты со сроком действия 3 и более лет.
КЛИМАТИЧЕСКИЕ УСЛОВИЯ
Критическим элементом СКУД является устройство считывания информации с магнитной полосы платежной карты – «Контроллер Магнитных Карт», т.к. от его надежности зависит работоспособность всей системы в целом и отношение Клиентов к зонам самообслуживания «24х4».
Географическое расположение и климатические условия накладывают ряд требований к «Контроллерам Магнитных Карт».
Для надежной работы «Контроллер Магнитных Карт», с учетом климатических реалий, должен сохранять работоспособность при температурах от -40 до +50 °С в условиях влажности 0-90% RH (без образования конденсата и инея) при эксплуатации в помещениях и навесах нерегулируемого климатического типа.
С учетом стандартов ISO7810–7813, в которых описаны характеристики, климатические условия хранения и эксплуатации пластиковых карт, подобные требования невыполнимы для «стандартных ридеров», т.к. лучшие производители ридеров магнитных карт гарантируют их работоспособность при температурах от -10 до 50 °С.
Невозможно эксплуатировать «стандартные» решения» при более низких температурах без применения специальных элементов термостабилизации («подогрева») при температурах менее +12°С.
Несмотря на эти явные несоответствия требований и возможностей, недобросовестные производители СКУД указывают недостоверные сведения в характеристиках устройств.
Если не учитывать конструктивные особенности оборудования и его рабочие температурные характеристики - это приведет к резкому возрастанию усилия прижима считывающих элементов к магнитной полосе пластиковой карты и ее последующему разрушению, появлению царапин на магнитной полосе и лицевой части карты и т.п., что существенно скажется на сроке жизни, внешнем виде пластиковой карты и приведет к дополнительным затратам по перевыпуску пластиковой карты и потери имиджа Банка.
ЗАЩИЩЕННОСТЬ
Как отмечалось ранее, критическим элементом СКУД является устройство считывания информации с магнитной полосы платежной карты – «Контроллер Магнитных Карт». Его расположение на наружной части Банка предполагает высокие требования к защите от случайных и преднамеренных физических воздействий (вандализм), которые могут привести к деформации тракта прохождения карты (что приводит к невозможности считывания информации) и невозможности обслуживания Клиента – это означает, что корпус «Контроллера Магнитных Карт» должен быть выполнен из прочной стали и выдерживать удары металлических предметов (молоток, бейсбольная бита и пр.).
Использование не прямоугольных форм антивандальных корпусов делает невозможным установку скимминг-устройств.
Наличие стального корпуса, достаточной толщины, обеспечивают экранирование внутренних элементов «Контроллера Магнитных Карт» и невозможность несанкционированного считывания информации.
ФУНКЦИОНАЛ СКУД
Сегодняшний функционал СКУД зон самообслуживания «24х7» определяется возрастающими требованиями к подобным системам - это и обеспечение безопасности дорогостоящего оборудования (как АТМ (Automated Teller Machine)) от вандализма, случаи возникновения которого учащаются с каждым днем, и защита от мошеннических действий со стороны клиентов и злоумышленников, а также обеспечение комфортного и надежного обслуживания Клиента. Требование в некоторой степени противоречивые, однако их необходимо выполнять.
СКУД доступом должны помогать Службе Безопасности защитить Банк от махинаций и мошенничества, от операций с крадеными и поддельными пластиковыми картами, актов вандализма в отношении дорогостоящего оборудовании (это и разбитые мониторы с клавиатурами, и окрашенные лицевые панели банкомата, и монтажная пена, залитая в устройства приема карт, и т.п.).
Особо важным моментом в данном вопросе является минимизация не только финансовых, но и временных затрат персонала на решение указанных задач.
Специфика организации безопасности таких объектов, как «Зона самообслуживания «24х7», состоит в географическом разнесении составных элементов.
Следует учитывать, что расстояние от головного офиса банка, в котором расположены центры контроля, до «Зон самообслуживания «24х7» может составлять до 100 км и даже больше.
И если для того, чтобы проконтролировать работоспособность «Зоны самообслуживания «24х7», рядом с центральным офисом Банка нужно немного времени (как правило обслуживающие компании располагаются в местах дислокации головного отделения), то проверка работы удаленных объектов, без наличия средств удаленного конфигурирования, мониторинга и управления становится весьма проблематична.
Эти же соображения не позволяют применять активные, управляемы дистанционно, методы защиты объектов («генератор тумана», «туман безопасности», «свето-шумовые генераторы» и аналогичные системы), которые могут предотвратить огромные убытки Банка.
СКУ «Зона самообслуживания «24х7» должна учитывать не только вопросы безопасности, но и защищать финансы Банка, предоставлять возможность гибко конфигурировать списки разрешенных к обслуживанию пластиковых карт тех или иных банков-эмитентов с возможностью построения групповых фильтров разрешенных и запрещенных к обслуживанию карт по BIN (Bank Identification Number - банковский идентификационный номер), обеспечивать информирование Службы Безопасности Банка и/или охранные структуры о попытке доступа в «Зону самообслуживания «24х7» по картам, которые находятся в списке разыскиваемых или скомпрометированных.
Информация
По оценкам специалистов банков, СКУ «Зона самообслуживания «24х7» ПРОЦИОН-3620, только в одном банке, предотвратила финансовые потери в размере более 27 000 000 UAH при «развале» «ДЕЛЬТАБАНКа» и защитила многие банки от аналогичных проблем в дальнейшем, за счет грамотного использования сотрудниками Службы Безопасности функционала систем. СКУ «Зона самообслуживания «24х7» ПРОЦИОН-3620 многократно окупили затраты на установку систем.
Использование фильтрации карт по BIN позволяют недопустить в зону обслуживания владельцев карт проблемных банков или банков, с которыми не установлены партнерские отношения или ограничивать доступ по другим параметрам.
СКУ «Зона самообслуживания «24х7» обязана отсекать попытки доступа и отказывать в обслуживании владельцам карт с истекшим сроком действия и/или недопускать вход по картам, которые не принадлежат к платежным системам (дисконтные, клубные и т.п.).
К сожалению, простые СКУД не контролируют указанные параметры, и часто позволяют использовать «Зоны самообслуживания «24х7», как ночлежки для лиц без определенного места жительства, как мест распития спиртных напитков и употребления наркотических средств и т.п.
Обязательной функцией СКУ «Зона самообслуживания «24х7» является протоколирование работы системы для последующего анализа и выявления проблем в обслуживании Клиентов, некачественного обслуживания, анализа эффективности работы «Зона самообслуживания «24х7».
Как отмечалось выше, СКУ «Зона самообслуживания «24х7» должна позволять удаленное подключение к своим функциям через локальные сети банков с поддержкой TCP/IP протоколов, гибкое управление подключенным дополнительным оборудованием различного типа, как в автоматическом режиме, так и дистанционно.
СКУ «ЗОНА САМООБСЛУЖИВАНИЯ «24Х7» В УКРАИНЕ
В настоящее время, в Украине получили распространение
СКУ «Зона самообслуживания «24х7» серии ПРОЦИОН-3600 (Украина) и "Шериф-Банк" (Россия).
Система "Шериф-Банк" (Россия) – автономная система с максимально упрощенным функционалом, которая не обеспечивающей базовые требования по обслуживанию клиентов, не оптимизирована для работы с картами украинских банков. Поставляется в Украину с 2014 года («Совпадение? Не думаю…»).
Как ни странно, но ведущие российские банки, имеющие свои отделения или дочерние структуры в Украине не используют указанную систему.
Кроме этого, Системы "Шериф-Банк" несоответствуют требованиям стандарта безопасности PCI DSS, использует незащищенный интерфейс «Clock & Data» передачи данных.