27 декабря 2010 года на сайте оператора онлайн-платежей ChronoPay появилось сообщение о взломе. 28 декабря ChronoPay подтвердил факт кражи своего домена, обеспечивающего онлайн-платежи.
В процессе оплаты товара, купленного онлайн посредством банковской карты, участвуют:
- покупатель, он же держатель банковской карты;
- продавец товара или услуги, назовем его для простоты интернет-магазином;
- банк, эмитировавший банковскую карту покупателя;
- банк, обслуживающий продавца;
- процессинговая онлайн-система (иногда называемая также "платежным шлюзом"), обеспечивающая взаимодействие покупателя, продавца и банков.
Процесс онлайн-покупки, осуществляемый с помощью банковской карты, таков:
1. Покупатель заходит в интернет-магазин, выбирает товар, кладет его в виртуальную корзину, нажимает кнопку "Оплатить" и выбирает банковскую карту в качестве способа оплаты.
2. Интернет-магазин направляет пользователя на предоставленную ему процессинговой системой веб-страницу с формой, куда следует ввести данные банковской карты.
3. Пользователь вводит данные своей банковской карты, и они передаются процессинговой онлайн-системой в банк, обслуживающий интернет-магазин (т.н. банк-эквайер). Важный момент: таким банком обязательно должен быть банк, имеющий договор с процессинговой онлайн-системой.
Канал обмена данными между процессинговой онлайн-системой и банком защищен от киберпреступников. В частности, процессинговая система не имеет права хранить код CVV (состоит из трех цифр, указан на обратной стороне карты), он стирается из компьютерной памяти сразу после подтверждения подлинности карты. Сами номера кредитных карт сохраняются в защищенной базе данных. Средства защиты, как и технология обмена данными с банком, сертифицируются по стандарту PCI DSS (Payment Card Industry Data Security Standard) – стандарт защиты информации о банковских картах, разработанный международными платежными системами Visa и MasterCard.
4. Банк-эквайер, получив данные о платеже, который хочет осуществить покупатель, запрашивает банк, эмитировавший карту (этот запрос осуществляется посредством международной платежной системы, например, Visa или MasterCard). Банк-эмитент подтверждает: да, это карта нашего клиента, и на его счету достаточно денег – мы готовы к транзакции.
5. Деньги меняют хозяина, переходя из банка в банк, а товар получает своего владельца. Интернет-магазин получил от своего банка подтверждение оплаты и теперь должен доставить товар покупателю. Покупка совершена.
Потенциальная опасность онлайн-платежа банковской картой состоит в том, что у покупателя некому спросить удостоверение личности.
Страхует от мошенников (их называют кардерами), использующих краденые номера кредитных карт и коды CVV, во-первых, страх уголовного преследования: вычислить кардера вполне можно, т.к. следов в виртуальном пространстве он оставляет достаточно для того, чтобы быть найденным оперативниками.
Во-вторых, есть процедуры, которые клиент банка обязан предпринять при компрометации банковской карты. Ее надлежит немедленно блокировать – например, позвонив банк, выдавший карту (номер телефона банка указан на обратной стороне карты). Впоследствии, если карта не была утеряна, банк бесплатно перевыпустит ее по вашему заявлению.
Материал подготовлен на основе информации открытых источников