Безопасность управления ПИН-кодом

23 Сентября 13:55

Одним из сервисов безопасности, решающих задачи бизнеса, является установка и смена ПИН-кода карты в удалённых каналах обслуживания через банковские мобильное и интернет-приложения. Современные сервисы управления ПИН-кодом карты технически можно реализовать по-разному. Вниманию читателей предлагается технология установки и смены ПИН-кода, разработанная и реализованная Сбербанком.

Автор: Сергей Лукьянов, руководитель направления Управления экспертизы кибербезопасности Сбербанка

Удалённые каналы обслуживания - важнейшие инструменты развития банковских сервисов. Сегодня достаточно сложно представить ситуацию, когда услуги предоставляются только в отделении. Мобильность клиента и его желание получать сервис в любой точке мира и в удобное для себя время ставят перед банками двуединую задачу. С одной стороны, она направлена на непрерывное совершенствование имеющихся сервисов, с другой - на предоставление новых, учитывающих текущие клиентские потребности и нацеленных на развитие бизнеса в будущем. Результат достигается в том числе через банковские мобильные и интернет-приложения, работающие в режиме реального времени и доступные на клиентском устройстве практически в любой точке мира.

Сервисы безопасности, решающие задачи бизнеса, - отдельное направление развития клиентских услуг, помогающих ему минимизировать затраты и улучшить клиентский опыт. Одним из таких сервисов является установка и смена ПИН-кода карты в удалённых каналах обслуживания (УКО) через банковские мобильное и интернет-приложения. Проникновение сервисов токенизации карты (Samsung Pay, Apple Pay, Google Pay) в инструменты совершения платежей с использованием банковских карт растёт, соответственно, снижается потребность клиентов в пластике. В результате перед банком возникает дилемма: предоставлять клиенту пластиковую карту как физический носитель данных или дать возможность выпустить карту без посещения офиса, чтобы затем клиент использовал свой смартфон и аутентификацию на нём (On Device Cardholder Verification, ODCV). Во втором случае для сохранения обратной совместимости с терминалами, которые не поддерживают ODCV, у карты тоже должен быть ПИН-код, который клиент может использовать на таких терминалах.

Современные сервисы управления ПИН-кодом карты через мобильные и интернет-приложения технически реализованы по-разному. Мы будем рассматривать технологию установки и смены ПИН-кода, разработанную и реализованную Сбербанком. Она существенно отличается от других решений, представленных на рынке, и не затрагивает смены ПИН-кода в банкомате банка-эмитента при обязательном вводе клиентом значения старого ПИН-кода. В представляемой технологии данного обязательного условия нет.

Необходимо сделать важное отступление. Клиент не всегда знает, что технологии проведения операций по карте в зависимости от условий их реализации предполагают использование одного из двух типов ПИН-кодов. Для операций в режиме реального времени используется онлайн ПИН-код, корректность введения которого проверяется на стороне хоста эмитента, исключение - на стороне платёжной системы в режиме Stand In. Однако есть ряд операций, например, при оплате транспортных услуг, при недоступности банк-эквайера, когда используется офлайн ПИН-код карты, загруженный на её чип. Данное условие порождает определённые технологические особенности. При проведении операции смены ПИН-кода в банкомате одновременно обновляются онлайн и офлайн ПИН-коды - офлайн загружается на карту после установки нового онлайн ПИН-кода. Если смена ПИН-кода происходит удалённо (бесконтактным способом), то обновляется только онлайн, а на чип карты он будет записан только при проведении контактной операции в режиме онлайн - это надо понимать и принимать.

Наша технология разработана на основе потребностей бизнеса по расширению функциональности УКО в части предоставления клиентам возможности проведения в мобильном приложении и веб-версии Сбербанк Онлайн операции «Установка и смена ПИН-кода» в двух ситуациях. Во-первых, при первичной установке ПИН-кода в случаях выпуска и активации карты в УКО. Во-вторых, при смене ПИН-кода, если клиент его забыл. До запуска данного сервиса ему приходилось досрочно перевыпускать карту.

Риски информационной безопасности сервиса

Выбор корректных решений безопасности реализуемого проекта - одно из важнейших условий его успешной реализации, обеспечивающих минимизацию рисков кибербезопасности, выявленных по результатам их анализа. Здесь можно выделить четыре основных риска.

Первый - доступ сторонних лиц, в том числе сотрудников банка, к ПИН-коду в процессе его назначения клиентом через приложение интернет-банка.

Второй - компрометация ПИН-кода в ходе его передачи до эмитентского модуля процессинга банка.

Третий - компрометация ПИН-кода при передаче в контуре банка между его автоматизированными системами.

Четвёртый - обеспечение соответствия правилам платёжных систем и требованиям PCI.

Обеспечение безопасности ПИН-кода - одна из основ безопасности бизнеса платёжных карт, закреплённых в правилах международных и российских платёжных систем и в сборнике стандартов безопасности данных индустрии платёжных карт (Payment Card Industry Data Security Standard, PCI DSS). Регуляторные риски проекта были минимизированы путём обеспечения строгого соответствия требованиям нормативных документов PCI DSS (Visa. Issuer PIN Security Guidelines, November 2010, PCI DSS ver. 3.2, PCI PIN Security). Речь идёт об использовании стойких криптографических алгоритмов и ключей, токенизации и маскировании номеров карт, контроле несохранения критичных аутентификационных данных (ПИН-блоков) в ходе их передачи и обработки, выполнении криптографических процедур в соответствии с требованиями этих нормативных документов. Обозначенные подходы будут рассмотрены в статье более детально.

Вместе с тем анализ риска доступа к ПИН-коду в процессе его назначения клиентом через банковское веб- или мобильное приложение показал, что вероятность его реализации в отношении одного конкретного клиента остаётся высокой по причине невозможности создания доверенной среды на устройстве пользователя. В ходе анализа данного риска принималось во внимание, что сам факт завладения ПИН-кодом карты не даёт злоумышленнику возможности получить доступ к средствам клиента, размещённым на конкретной карте. Мошеннику необходимо физически завладеть либо самой картой, либо полным набором данных для её токенизации, что требует достаточно сложных схем. Кроме того, подобные действия подпадают по своему составу под признаки деяний, по которым предусмотрены реальные сроки лишения свободы.

Схема бизнес-процесса проекта

В схеме бизнес-процесса технологии смены ПИН-кода через интернет- и мобильное приложения задействовано несколько основных автоматизированных систем: мобильное приложение Сбербанк Онлайн (iOS, Android) и интернет-приложение Сбербанк Онлайн; ядро интернет-банка, объединяющее все удалённые каналы (Middle Office); создаваемая система управления ПИН-кодом (СУПИН); процессинговая система back office (Back Office); система антифрода («Антифрод»).

 

Полностью статью читайте в Журнале «Банковские технологии», №8, 2019.

вернуться назад

События

Новости

Корпоративные новости