Безпека електронних банківських операцій

Digital&Mobile Finance in Ukraine

Банківські операції - платіжні та розрахункові операції для господарської діяльності є тим самим для що й дороги для дорожнього руху . Є необхідним атрибутом, на який, як правило, не звертають увагу крім тих випадків, коли на них відбуваються аварії або утворюються «затори».

Платіжний механізм – одна з базових структур ринкової економіки, який забезпечує «обмін речовинами» у господарській системі. Стійка і швидкодіюча система платежів і розрахунків є необхідною передумовою ефективного функціонування всього господарського механізму, всіх його секторів та окремих суб’єктів господарювання.

Основним чинником прискорення руху коштів у платіжних системах став значний прогрес у галузі інформаційних технологій.

1. Основні поняття. ПродовженняПлатіжна система - спеціалізований елемент економічних операцій; елемент , який стосується передачі грошової вартості в обмін на товар, послугу або фінансовий актив.

Платіжна система – набір платіжних інструментів, банківських процедур, міжбанківських систем переказу коштів, поєднання яких і забезпечує грошовий обіг.

Безготівкові розрахунки – це платежі, що здійснюються як у вигляді матеріального обігу паперових документів, так і вигляді записів у інформаційних системах, руху електронних повідомлень та комунікацій.•Кредитові перекази – платіжне розпорядження рухається в тому ж напрямку, що й кошти, а саме від платника до одержувача. Гроші у цьому випадку переміщуються слідом за потоком інформації.•Дебетові перекази – платіжне розпорядження рухається у зворотному щодо коштів напрямку - від одержувача платежу до платника.

Безготівковіплатіжні інструменти Платіжні інструменти, що

забезпечують електронні платежі

Платіжні інструменти, що забезпечують платежі на паперових

носіях

Платіжні інструменти, що забезпечують платежі на основі

платіжних карток

Дебетові таКредитові платіжні

інструменти

Класифікація платіжних інструментів

3. Правові основи платіжних систем

Законодавство

Нормативна база

Договірна база

3. Правові основи платіжних системо.

У зв'язку із суттєвою значимістю безперебійної та надійної роботи платіжних систем, використання систем для здійснення міжнародних розрахунків регулювання діяльності платіжних систем вимагає створення та застосування спеціального законодавства. Маємо низку законів України, що регулюють діяльність платіжних систем в Україні:

ЗАКОНИ УКРАЇНИ•Про інформацію •Про захист інформації в інформаційно-телекомунікаційних системах •Про електронні документи та електронний документообіг•Про електронний цифровий підпис•Про захист персональних даних •Про Національний банк України•Про банки і банківську діяльність•Кодекс України про адміністративні правопорушення•Кримінальний кодекс України • Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму •Про захист персональних даних

3. Правові Правові основи платіжних систем и платіжних систем. Нормативна база.

Нормативно-правові акти Національного банку України: •Інструкція про безготівкові розрахунки в Україні в національної валюті, затверджена постановою Правління Національного банку України від 21.01.2004 № 22 (зі змінами), зареєстрована в Міністерстві юстиції України 05.05.2005 за № 469/10749.•Інструкція про міжбанківський переказ коштів в Україні в національній валюті, затверджена постановою Правління Національного банку України від 16.08.2006 № 320, зареєстрована в Міністерстві юстиції України 06.09.2006 за № 1035/12909.•Положення про організацію операційної діяльності в банках України, затверджене постановою Правління Національного банку України від 18.06.2003 № 254, зареєстроване в Міністерстві юстиції України 08.07.2003 за № 559/7880 (зі змінами).• Положення про забезпечення безперервного функціонування інформаційних систем Національного банку та банків України, затверджене постановою Правління Національного банку України від 17.06.2004 № 265. •Перелік документів, що утворюються в діяльності Національного банку та банків України із зазначенням строків зберігання, затверджений постановою Правління Національного банку України від 08.12.2004 № 601

3. Правові основи платіжних систем

Нормативно-правові акти Національного банку України •Положення про порядок формування, зберігання та знищення електронних архівів у Національному банку України і банках України, затверджене постановою Правління Національного банку України від 12.09.2006 № 357, зареєстроване в Міністерстві юстиції України 03.10.2006 за № 1089/12963. • Правила зберігання, захисту, використання та розкриття банківської таємниці, затверджені постановою Правління Національного банку України від 14.07.2006 № 267, зареєстровані в Міністерстві юстиції України 03.08. 2006 за № 935/12809•Положення про здійснення банками фінансового моніторингу, затверджене постановою Правління Національного банку України від 14.05.2003 №189, зареєстроване в Міністерстві юстиції України 19.11.2004 за № 1062/8383 (зі змінами).• Положення про діяльність в Україні внутрішньодержавних і міжнародних платіжних систем, затверджене постановою Правління Національного банку України від 25.09.2007 № 348, зареєстроване в Міністерстві юстиції України 15.10. 2007 за № 1173/14440 (зі змінами)

3.О Правові основи платіжних системви платіжних систем. Нормативна база.

Нормативно-правові акти Національного банку України •Правила організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, затверджені постановою Правління Національного банку України від 02.04.2007, № 112, зареєстровані в Міністерстві юстиції України 24.04.07 за № 419/13686.• Правила технічного захисту приміщень банків, у яких обробляються електронні банківські документи, затверджені постановою Правління Національного банку України від 04.07.2007 № 243, зареєстровані в Міністерстві юстиції України 17.08.2007 за № 955/14222 . •Постанова Правління Національного банку України “Про затвердження нормативно-правових актів з питань функціонування електронного цифрового підпису в банківській системі України” від 04.06.2010 № 284, зареєстрована в Міністерстві юстиції України 04.11.2010 за № 1034/18329•Правила реєстрації, засвідчення чинності відкритого ключа та акредитації центрів сертифікації ключів банків України в Засвідчувальному центрі Національного банку України, зареєстровані в Міністерстві юстиції України 04.11.2010 за № 1035/18330•Правила оформлення Регламенту роботи центрів сертифікації ключів банків України, зареєстровані в Міністерстві юстиції України 04.11.2010 за № 1036/18331• 

Правові основи платіжних системсистем. Договірна база.

Договори можна розглядати як формальну домовленість учасників щодо виконання певних дій за визначених умов і протягом зазначеного часу. Надзвичайно важливо зазначити у договорах норми, яких мають дотримуватися учасники платежів при здійсненні платежів. Має бути передбачена відповідальність за недотримання правил і умов діяльності. Також необхідно визначити, які поважні причини можуть бути виправданням при порушенні правил та умов договору.

4.хРизики в платіжних системах

системах.

Операційні ризики Фінансові ризики

▪ Ризик помилок, відмов обладнання.

▪ Ризик шахрайства з грошима.

▪ Ризик шахрайства із інформацією.

▪ Ризик відмивання грошей.▪ Ембарго-ризик (ризик

санкцій) при здійсненні міжнародних транзакцій.

▪ Кредитний ризик. Ризик того, що учасник операції, який має виплатити кошти, виявляється не в змозі виконати розрахунок за своїми зобов'язаннями унаслідок своєї повної чи часткової неплатоспроможності

▪ Ризик ліквідності.

5 Класифікація платіжних систем

• Системи міжбанківських розрахунків• Системи віддаленого доступу клієнтів до рахунків («Клієнт –

Банк», Internet Bank, тощо)• Системи готівкових переказів• Системи розрахунків в мережі Internet• Системи масових платежів (системи розрахунків платіжними

картками)

Система міжбанківських розрахунківза механізмом здійснення платежу

Пакетний метод

▪ При інтерактивному методі звернення до рахунку здійснюється кожного разу при проведенні платежу, одночасно з переказом коштів.

▪ Інтерактивний метод прискорює розрахунки і виключає ризик неплатежу.

Інтерактивний метод

▪ При пакетному методі обробка пересилання й обробка розпоряджень щодо грошових переказів здійснюється одночасно.

▪ При пакетному методі накопичується значна кількість окремих доручень, які об’єднуються в один пакет, якій обробляється через проміжок часу

6Протидія шахрайству

.

Попередження Аналіз та розслідування

Виявлення (моніторинг)

7. Системи міжбанківських розрахунків. Система електронних платежів (СЕП) 1.Система безпеки СЕП включає технологічні, апаратні, програмні засоби та організаційні заходи захисту.

2.Система безпеки СЕП є багаторівневою. Система включає: •Засоби шифрування та електронно-цифрового підпису;•Технологічні засоби контролю;•Бухгалтерські засоби контролю.

S.W.I.F.T.Система безпеки S.W.I.F.T. складається з багаторівневих комбінацій: •Фізичної безпеки•Безпеки комунікаційних мереж•Процедурної безпеки•Безпеки функціонування

8. Системи віддаленого доступу клієнтів до рахунків.

Система Клієнт – Банк.

Система Клієнт – Банк – це сукупність програмно-технічних комплексів призначених для•Оперативного ведення клієнтом своїх рахунків у банку•Обміну платіжними документами та інформацією між банком та клієнтом в електронній формі .

Система складається із Банківської та Клієнтської частин, системи криптографічного захисту

9. Системи розрахунків в мережі Internet.

VisaVirtuon та MasterCard Virtual

• Можливо розрахуватися тільки в мережі Інтернет..

• Не призначена для зберігання грошових коштів.

• Для проведення платежу в Інтернеті необхідно лише перевести

необхідну суму з основної картки

9. Системи розрахунків в мережі Internet.Методи захисту карткових даних та Інтернет-платежів

• СМС-повідомлення по операціях з карткою.• встановлення ліміту на разрахунки карткою в Інтернеті• 3-Dsecure

•Verified by Visa•MasterCard SecureCode

у Ризик бізнесу платіжних карток

• Скімінг (з ПІН-кодом/без ПІН-коду);• Шахрайство в мережі Інтернет• Фішінг;• Крадіжка, разголошення інформації по ПК;• Використання втрачених/викрадених карток;• Використання карток по підлімітних операціях;• Генерація номерів карток;• Шахрайство держателя картки;• Шахрайство персоналу банку;• Крадіжка заготовок пластику.• «Phishing» - отримання інформації про реквізити картки через фальшиві

сайти. • Вішінг – крадіжка інформації за допомогою телефону, використовуючи

автододзвін, с ціллю отримання інформації про картку; • Фармінг – створення шахрайських сайтів і заміна IP адрес таким чином,

щоб переадресувати держателя на шахрайський сайт.

Ризик бізнесу Ризик бізнесу платіжних карток Ризик банку• Шахрайство торгового підприємства

• Обслуговування недійсних/фальшивих карток;• ручний ввід реквизитів картки; • шахрайські дії персоналу торгової мережі;• крадіжка реквізитів карток з ціллю їх подальшої підробки;• Створення торгової точки з ціллю шахрайства; • електронна комерція;• Шахрайство держателями карток• Використання фальшивих карток; • Використання втрачених/викрадених платіжних карток;• Зловживання підлімітними операціями • шахрайство сторонніх осіб в торговій мережі• Копіювання магнітної полоси/Пін-коду за допомогою пристроїв,несанкціоновано вмонтованих шахраями в ПОС-термінал;• Операційні ризики. Повторна обробка операцій;• Пізнє проведення операцій для оплати;• втрата документів;• Збої в роботі обладнання.

у Ризик бізнесу платіжних карток

Забезпечення безпеки операцій в мережі банкоматів.

- Шифрування ПІН-блока АТМ алгоритмом T-DES;-Шифрування трафіка, забезпечення надійності комунікацій;-Управління робочими ключами АТМ у відповідності до вимог МПС;-Моніторинг операцій;-Постійний моніторинг функціонування банкоматів;-Контроль дій персоналу;-Наявність систем відеонагляду;-Встановлення антискімінгових приладів;-Подключення АТМ до системи сигналізації;-Інспекція банкоматів на предмет наявності сторонніх предметів і приладів;-Перехід на ЧІП технології.

Ризик бізнесу платіжних карток

Мінімізація ризиків витоку інформації і компрометація карток

-Перевірка потенційних картодержателів і торгівців;-Використання принципу відбору клієнтів;-Мінімізація выдачі карток нерезидентам України;-Особам, які виїжджають на ПМЖ за кордон;-Малозабезпеченим верствам населення, студентам;-Особам без постійного місця роботи;-Постійний моніторинг операцій;-Виготовлення і доставка карток і конвертів з ПІН-кодами з дотриманням вимог безпеки;-Розслідування прав і доступу працівників банку до інформації;-Використання захищених технологій.

Ризик бізнесу платіжних карток

Контроль ризиків, які виникають під час проведення операцій

-Забезпечення цілодобового моніторингу операцій в режимах On-line, Off-line (емісія, еквайринг);-Встановлення лімітів на використання картки клієнтом (сума, частота, регіон);-Підключення клієнтів к услуге SMS-банкинга;-Внесення картки в СТОП-список/списки у випадку підозри на шахрайське використання;-Скрупульозне розслідування випадків несанкціонованого використання картки;-Скасування операцій через МПС, оптимізація рекламаційної роботи