Маска карты банковской что это

Обновлено: 25.04.2024

Я, конечно, не получаю пачками вопросы по безопасности платежных карт, однако, время от времени кто-нибудь да и задаст мне такой вопрос, который заслуживает отдельной публикации в блоге. Буквально на днях одна читательница, Мишель, задала мне такой вопрос, который, в целом отражает часто встречающееся непонимание в сфере безопасности платежных карт:

Вчера я перечитывала PCI DSS 2.0, требование 3.4, и была немало удивлена тем, что для защиты хранимых номеров PAN не предлагается такая мера как «маскирование». Правильно ли я понимаю, что эти номера подлежат шифрованию перед помещением их на хранение, а при извлечении, они подлежат расшифрованию и маскированию? И потом, если мы получаем номер PAN уже в маскированном виде, а затем храним его, то попадает ли такое хранение под действие стандарта PCI DSS? С технической точки зрения, как я думаю, не попадает, т.к. PAN уже маскирован при получении, а значит нет возможности найти номер PAN в незашифрованном виде.

Вот в этом как раз и кроется основная суть непонимания сути маскирования. Многие люди либо вообще не знают о существовании усечения и полагают, что если они не могут видеть полный номер карты, то это маскирование, либо считают, что усечение и маскирование — это одно и то же. Несомненно это разные вещи, поэтому я позволю себе процитировать определения маскирования и усечения прямо из Глоссария PCI SSC:

Маскирование (Masking)

Метод сокрытия сегмента данных при отображении или печати. Маскирование используется, когда нет служебной необходимости в просмотре всего номера PAN.

Усечение (truncation)

Метод приведения номера PAN к нечитаемому виду посредством удаления сегмента данных PAN.

Представьте себе данные о держателе карты (далее – ДДК) в виде цифр на листке бумаги. При маскировании мы словно берем коррекционную ленту и наносим ее на большую часть цифр таким образом, чтобы человеку, которому передается этот листок, было видно только последние 4 цифры. Очевидно, что при этой операции данные по прежнему существуют под коррекционной лентой, хотя она их и скрывает. Разумеется, с этого листка бумаги, приложив некоторые усилия, можно счистить коррекционную ленту, а значит этот лист бумаги по прежнему нуждается в защите, при которой никакие злоумышленники не могли бы восстановить и использовать данные о держателе карты.

В свою очередь, если бы мы хотели выполнить усечение на этом листке бумаги, то мы бы либо вообще изначально не писали эти цифры, либо стерли их настолько надежно, что их никогда нельзя было бы воссоздать. Такие данные никогда не были бы написаны на листе бумаги, а значит никак не могли бы быть использованы для мошенничества с платежными картами. В таком сценарии, этот лист бумаги не имеет никакой ценности для злоумышленника, а значит нет необходимости его защищать, по крайней мере в той же степени, в которой следует защищать маскированные данные. Конечно, к этим усеченным данным могут быть привязаны какие-то дополнительные данные или значения, но сами по себе усеченные данные ценности не имеют.

Если на экране отображаются данные, из которых видна только малая часть, то нельзя знать наверняка, какие именно представлены данные — усеченные или маскированные. Для того, чтобы это узнать, необходимо глубже понимать процессы их обработки. Только понимая процессы, можно сказать, можно ли каким-либо воссоздать эти данные или же в базе данных хранятся те же данные, которые видны на экране. Находясь в обычном магазине, можно увидеть на чеках последние 4 цифры номера карты. Если платежное приложение написано корректно, то должность персонала – будь то руководитель торгового зала или продавец — не должна иметь значения: в любом случае никто не должен видеть ничего кроме последних 4 цифр номера. Дело в том, что в таком приложении данные не сохраняются, а значит ни у кого из сотрудников магазина нет возможности извлечь данные из системы — данные усечены и их в системе больше нет.

Совсем иная ситуация в бэк-офисе, в бухгалтерии и в службе, отвечающей за предотвращение ущерба. По умолчанию, сотрудники этих отделов и служб должны видеть только 4 последних цифры номера платежной карты. Однако при возникновении претензионных платежей или подозрений на вероятное мошенничество, сотрудники компании в рамках расследования должны иметь возможность отменить маскирование полного номера карты. Эти номера по-прежнему существуют на сервере, однако, они там в основном хранятся в маскированном (скрытом) виде, и отображаются только должным образом уполномоченному персоналу. Поскольку имеется возможность извлечения этих данных на серверах, они полностью входят в область оценки на соответствие стандарту PCI DSS и подлежат соответствующей защите.

Таким образом, отвечая на вопрос читательницы, я скажу, что хранимые данные не могут быть «маскированы». Они маскируются только при извлечении и считаются маскированными, если отображены частично. Именно поэтому, в требовании 3.4 отсутствует маскирование. Если же ТСП получает ДДК, в которых имеется только сегмент номера PAN (например, сегмент из первых 6 или последних 4 цифр), то такие данные являются усеченными. В таком случае полный номер PAN отсутствует, воссоздание его невозможно, а значит нет необходимости его защищать так же, как и ДДК. Я не говорю, конечно, о том, что данные, привязанные к этому номеру не имеют ценности и не подлежат защите, просто усеченные данные не входят в область применения требований стандарта.

Если же ТСП получает полный номер PAN, но сотрудникам он отображается в маскированном виде, то, даже если никто в ТСП не имеет доступа к ДДК, оно все равно отвечает за их защиту согласно требованиям стандарта. Если в этих данных нет необходимости, есть смысл просить о предоставлении усеченных данных, тем самым, сэкономив кучу сил и нервов на общении с аудиторами, выполнении требований стандарта, да и вообще на процессе приведения среды в соответствие со стандартом PCI DSS. Например, я приятный в общении человек, но даже самые большие мои поклонники среди клиентов подтвердят, что я становлюсь противным и невыносимым, как минимум, раз в год, когда прихожу к ним для проведения аудита.

Favorite

В закладки

Как работает Face Pay для оплаты по лицу в московском метро. Мы уже проверили

Сегодня в Москве официально запустили систему распознавания лиц Face Pay.

Она работает только в метрополитене и доступна на всех 240 станциях на 14 линиях. Сервис позволяет пройти через турникеты без касания картой или смартфоном. Лицо считывают камеры, установленные на проходе.

Мы уже проверили работу нововведения. Пока все не так радужно, как заявляют власти.

Как начать пользоваться Face Pay


Чтобы использовать сервис, нужно пройти регистрацию в приложении Метро Москвы, привязать фотографию своего лица, Тройку и банковскую карту со средствами для оплаты проезда.

Вся процедура занимает около 5 минут. После привязки Тройки нужно ввести данные банковской карты и сделать фотографию своего лица. Обработка последних длится минуты 3, это достаточно быстрый процесс.

Инструкция по съёмке фото от метрополитена:



Правда, далеко не факт, что это фото подойдёт для прохода. И узнать об этом вы сможете только по факту, когда уже будете в метро.


Во время регистрации также возникла проблема с доступом к самому сервису. Однако, я думаю, это временная ошибка из-за резкого наплыва желающих проверить функцию.

Если увидите аналогичную ошибку, попробуйте через 5-10 минут зайти в приложение повторно. Всё должно заработать.

Как зайти в метро по лицу

1. Проверьте статусы биометрии и вашей банковской карты в приложении.

2. Перед проходом убедитесь, что на привязанной карте хватает денег для оплаты по тарифу.

В противном случае, карта попадет в стоп-лист.

3. Перед проходом через турникет снимите головной убор и поправьте очки, чтобы они не закрывали лицо и не бликовали.

4. Подойдите к турникету со стикером Оплата по биометрии. Стикер может быть расположен на створках турникета или в виде черного круглого стикера перед створками на полу. Обычно и там, и там.

Располагается такая метка в самом левом и правом турникете, где проходит оплата по карте.

5. Сдвиньте маску вниз, чтобы камера смогла вас распознать (хотя заявлено, что работает и в маске). Дождитесь зеленого сигнала и открытия створок.

Деньги спишутся через некоторое время.

Как работает Face Pay

И здесь не все так однозначно. Систему тестировали полгода, но так и не смогли полноценно довести до ума.

Я протестировал Face Pay на четырех станциях. И только на двух из них система меня впустила. Зато она сработала как без маски, так и в ней.

Процесс считывания лица занимает около 2 секунд. Это не дольше, чем при оплате смартфоном. Вопрос только в том, как быстро система решит вас распознать. Не уверен, что на входе не будет образовываться «пробок».

Возможно, со временем станет еще лучше после более массового «тестирования» системы.

А по фотке пустит?

Важный вопрос о безопасности Face Pay. Разработчики заявляют, что этого случиться не должно. И вышла двоякая ситуация:

▪️ я прикрыл своё лицо капюшоном и поднёс айфон чуть ближе, чем сам стоял во время считывания у турникета. Меня впустило

▪️ Никита попробовал тоже пройти по моему фото, но перед ним створки не открылись

Скорее всего, каким-то образом турникет всё-таки увидел мое лицо не на фотографии, а вживую, поэтому и смог пропустить в метро.

Откуда в итоге идёт списание: с Тройки или с банковской карты

Деньги списываются с банковской карты. И я понятия не имею, зачем нужно привязывать Тройку для работы системы. Вероятно, если на карте не окажется денег, то списание произойдёт с Тройки.

Поскольку деньги снимаются через некоторое время, сейчас об этом точно заявить нельзя.

Удобно ли это? Время покажет

Пока нельзя заявить со всей ответственностью, что это удобная система. Сейчас у неё возникают небольшие сбои, из-за чего скорость прохода через турникет может снизиться.

Но я уверен, что со временем Face Pay станет работать лучше. Ему просто нужно больше попыток для распознавания вашего лица, так нейросеть будет обучаться и лучше вас запоминать.

Favorite

В закладки

На любой банковской карточке (не важно, дебетовой или кредитной) обязательно присутствует самый главный реквизит – ее номер, выдавленный или напечатанный на лицевой стороне. Без этого набора цифр никакая карта, в принципе, не может быть выпущена, поскольку в нем зашифрована вся необходимая информация о платежной системе, банке и счете карты. На языке международных банковских стандартов номер карточки называется PAN – Primary Account Number.

Номер банковской карты содержит в себе много информации

Каждая цифра в этом номере имеет определенное значение, и это далеко не случайная последовательность, как может показаться на первый взгляд. Все платежные шлюзы, принимающие оплату по банковским картам, умеют считывать номер карты, именно поэтому его проблематично подделать, или выдать одну карту за другую. Таким образом, отели или прокатные конторы легко определяют, какая карта предъявляется к оплате – обычная или кредитная, ведь известно, что не всякая гостиница или фирма по прокату машин будет работать с дебетовой картой.

Номер любой платежной карты состоит из нескольких стандартных блоков:

  • MII (Major Industry Identifier) – первая цифра номера, основной отраслевой идентификатор;
  • BIN (Bank Identification Number) – первые шесть цифр номера (включая MII), идентификатор банка-эмитента;
  • IAI (Individual Account Identification) – цифры номера, начиная с седьмой и до предпоследней, идентификатор типа карты и связанного с ней банковского счета владельца карты;
  • L (код алгоритма Luhn или “Луна”) – контрольная цифра, проверочное число правильности указания номера карты.

Для обычного человека значение всех этих цифр не особенно важно, к тому же, расшифровать полностью номер карты невозможно без знания алгоритма. Достаточно уметь распознавать основную информацию, чтобы быстро определять принадлежность карточки к той или иной платежной системе.

Самая главная информация заключена в первой цифре номера карты или в коде MII:

1 – карты, выпущенные авиакомпаниями;
2 – карты, выпущенные авиакомпаниями и некоторыми другими эмитентами;
3 – карты, выпущенные платежными системами American Express, JCB и Diners Club;
4 – карты, выпущенные платежной системой VISA;
5 – карты, выпущенные платежной системой MasterCard;
6 – карты, выпущенные платежными системами Discover и MasterCard (Maestro);
7 – карты, выпущенные нефтяными компаниями;
8 – карты, выпущенные компаниями из сфер телекоммуникаций и здравоохранения;
9 – резерв.

Также следует обращать внимание на общую длину PAN: у карт VISA номер состоит из 13 или 16 цифр, у карт MasterCard – из 16 цифр, у карт Discover – из 16 цифр, у карт American Express – из 15 цифр, у карт Diners Club – из 14 цифр, у карт Maestro – из 12 или 19 цифр, у карт JCB – из 15 или 16 цифр.

Номер, указанный на лицевой стороне банковской карты, может потребоваться вам в самых различных ситуациях. Например, для совершения любой оплаты через интернет (в этом случае для успешного онлайн-платежа понадобится еще и секретный код карты). Или для привязки карточного счета к счету сервиса PayPal. Или для довольно популярной ныне услуги – быстрому переводу денежных средств по номеру карты.

Поскольку номер карты относится к числу ее главных платежных реквизитов и используется для совершения платежей, следует особенно аккуратно относиться к его сохранности и конфиденциальности – не показывать карту посторонним людям, не хранить номер карты в доступном месте и не пересылать его в электронном виде по сомнительным адресам.

Для чего нужны и как работают чип и магнитная полоса на банковской карте

На любой банковской карте есть магнитная полоса, которая обеспечивает оплату. Практически на всех картах есть и чип с микропроцессором, и также у многих карт – еще и бесконтактный модуль. Но не все клиенты банков знают, как и что из этого работает – и что может нести в себе риски мошенничества. Мы вместе с экспертами в этом разобрались и готовы рассказать вам о самом главном.

Как происходит оплата картой

Расплачиваясь банковской картой или снимая с нее наличные, держатель карты использует деньги с карточного счета, к которому привязана карта. То есть, карта – лишь ключ к счету, и сама по себе без счета будет лишь куском пластика. В зависимости от банка к одному счету может быть привязано несколько карт (основная и несколько дополнительных), а в некоторых ситуациях к одной карте могут подключаться несколько счетов (услуга мультивалютного счета).

Соответственно, от банковской карты требуется одно – обеспечивать быструю, удобную и при этом безопасную оплату в нужный момент и в нужном месте. Для этого у банковской карты есть как минимум четыре варианта использования:

  • магнитная полоса – обычно на вдоль задней стороны карты в верхней части пластика;
  • электронный чип – на лицевой стороне;
  • бесконтактный модуль – он срабатывает, если приложить карту к терминалу, который тоже поддерживает эту технологию;
  • токенизированная карта в смартфоне – через платежный сервис Apple Pay, Google Pay, Mir Pay, Samsung Pay или аналогичный. Срабатывает как и бесконтактный модуль в карте, но на смартфоне должен быть включен NFC.

Столько разных интерфейсов на карте появилось по мере развития безналичных платежей. Изначально терминалы оплаты поддерживали только магнитные полосы – картой нужно провести через специальный модуль на терминале, но из-за недостатков технологии это может срабатывать не с первого раза.

Также оказалось, что магнитную полосу легко скопировать – этим пользовались мошенники, которые через скиммеры захватывали данные магнитной полосы и изготавливали дубликат карты. Чтобы избежать этого, на картах появились электронные чипы. Если оплата по карте или снятие наличных происходит через чип, то данные карты защищены гораздо лучше – скопировать данные чипа гораздо сложнее. Как рассказал нам Виталий Арбузов из INPRO.digital, технологию назвали EMV, по первым трем буквам компаний, которые участвовали в проекте – Europay, Mastercard и Visa.

А чтобы ускорить оплату и разрешить не вводить пин-код при покупках на небольшие суммы, были введены и бесконтактные модули. Картой «Мир» можно рассчитаться бесконтактно на сумму до 3000 рублей и не вводить при этом пин-код (правда, чтобы снять наличные в банкомате на любую сумму, код ввести нужно).

При этом, по словам основателя TalkBank Михаила Попова, и чип, и магнитная полоса содержат в себе одну и ту же информацию – это все данные, которые нужны для идентификации держателя карты. В частности, ее номер, срок действия, держатель, и т.д. Фактически чип, магнитная полоса и бесконтактный модуль – это просто информация, которая позволяет банку понять, что эта карта существует, что ее выпустил конкретный банк, что она не заблокирована и ее использует ее основной держатель.

На практике почти все выпускаемые в России банковские карты и большинство POS-терминалов в магазинах поддерживают бесконтактную оплату, поэтому именно такой способ оплаты будет самым частым – банально благодаря своему удобству.

Что будет, если полоса или чип повредились?

С марта 2022 года карты систем Visa и Mastercard российских банков не работают за границей, а с выпуском новых карт могут возникнуть проблемы (вплоть до отсутствия «болванок» для карт). По этой причине банки объявили о продлении сроков действия выпущенных ранее карт – кто-то на несколько лет, а кто-то – вообще бессрочно.

Но по факту срок действия карты будет ограничен сроком физической пригодности карты. Говоря проще, картой можно будет пользоваться, пока она окончательно не износится. И в данном случае быстрее всего изнашивается магнитная полоса на карте. Размагнититься карта может по трем причинам:

  • воздействие магнитного излучения – от другого магнита, от долгого соседства с электроприборами, с микроволновой печью, и т.д.;
  • механическое воздействие – если носить карту в одном кармане с ключами, на полосе появятся царапины, из-за которых она может выйти из строя;
  • перегрев карты – например, если оставить ее под стеклом автомобиля в жаркий день.

Повредить другие части – чип и бесконтактный модуль – можно только механически. Например, если сильно согнуть карту, может повредиться антенна бесконтактного модуля – как рассказал нам Михаил Попов, схема микроэлементов расположена по всей длине карты, и в случае механического воздействия из строя может выйти вся карта.

Если же в карте сломалось что-то одно, то использование карты может быть под вопросом, говорит эксперт. Так, чип и магнитная полоса содержат одну и ту же информацию, поэтому:

  • при выходе из строя магнитной полосы можно дальше продолжать пользоваться оплатой через чип (если терминал это поддерживает);
  • если сломался чип, а полоса работает , то оплатить покупку только полосой может быть проблематично. Так, в самой полосе зашифрована информация о том, есть ли у карты чип. И если он есть, терминал запросит именно его – и если чип вышел из строя, расплатиться картой не получится. Но если терминал поддерживает оплату только магнитной полосой, то оплата пройдет;
  • если вышел из строя чип, то бесконтактная оплата, скорее всего, работать тоже не будет . Бесконтактный модуль – это антенна, которая реагирует на магнитное поле терминала и пропускает сигнал через чип, выдавая информацию обратно терминалу. Если чип вышел из строя, то бесконтактная оплата тоже работать не будет. А вот с магнитной полосой бесконтактный модуль не связан – это дублирующие друг друга интерфейсы.

И, конечно, даже если на карте выйдут из строя одновременно магнитная полоса, чип и бесконтактная антенна, оплачивать покупки смартфоном можно будет и дальше. В смартфоне карта токенизируется по ее реквизитам – номеру, сроку действия и коду безопасности. Физическое состояние карты никак не влияет на возможность платить ею через смартфон или в интернете (причем это можно делать и с виртуальной карты, которая не имеет пластикового эквивалента).

Но если карта повредилась, лучше перевыпустить ее в банке на новую. Обычно банки берут за перевыпуск карты по инициативе клиента определенную плату, однако при физическом выходе карты из строя замена может быть бесплатной.

Где больше всего рисков мошенничества?

Мошенничество на аппаратном уровне – скиммеры, камеры и накладки на клавиатуре – были актуальны, когда большая часть банковских карт выпускалась без чипа, только с магнитной полосой. Злоумышленник мог скопировать данные с магнитной полосы карты через скиммер, затем записать на видео или зафиксировать через накладку на клавиатуру пин-код, который вводит клиент. Потом данные полосы записывались на «болванку», с которой мошенники без проблем снимали все деньги.

Сейчас большинство карт выпускается с чипом, который через скиммер скопировать нельзя (да и вообще клонировать данные на нем – очень и очень сложно), поэтому такая схема постепенно уходит в прошлое. Но остаются два риска:

  1. мошенник может скопировать магнитную полосу у карты с чипом , «клонировать» эту карту на болванку, а потом найти банкомат, который считывает магнитную полосу, но не «умеет» работать с чипами (иначе он откажет в транзакции, не найдя чипа на карте). Это должен быть явно очень старый банкомат, которых постепенно становится все меньше;
  2. мошенник может зафиксировать пин-код через камеру или накладку на клавиатуру, а потом украсть у клиента саму карту. Наличие пин-кода позволит злоумышленнику снять с карты всю сумму сразу, а не пытаться сделать перевод онлайн по реквизитам карты (без доступа к телефону жертвы это все равно невозможно).

Таким образом, если клиент расплачивается картой с чипом или снимает с нее наличные, а банкомат или терминал умеет работать с чипами, то такая операция считается подлинной (то есть, риски оплаты «клоном» карты – практически нулевой). Если же какой-то банк еще использует терминалы или банкоматы, работающие только с магнитной полосой, а карта у клиента с чипом – то в любой спорной ситуации виноват будет банк (ведь у клиента защищенная карта). Это работает и в другую сторону – клиент с картой, у которой есть только магнитная полоса, менее защищен при работе с банковским оборудованием, поддерживающим карты с чипами.

Другими словами, прав будет тот, у кого чип – либо на самой карте, либо в виде поддержки устройством карт с чипами.

Что касается бесконтактной оплаты картой, то здесь украсть деньги можно только одним способом – похитить саму карту, а потом расплачиваться ею на суммы меньше порога, требующего ввести пин-код. Расплачиваться до того момента, как жертва обнаружит пропажу карты и заблокирует ее через банковское приложение (или же пока на карте не закончатся деньги). Это уголовно наказуемое деяние, которое легко раскрывается – на кассах супермаркетах и в небольших магазинах всегда есть камеры видеонаблюдения. Поскольку время покупки всегда фиксируется банком, найти на записи злоумышленника будет очень легко.

А вот «страшилки» о том, что воровать деньги с карты могут в общественном транспорте – поднеся терминал к карману, выглядят сильно преувеличенными. Для этого злоумышленнику придется оформить фирму или ИП, оформить РКО в банке, подключить эквайринг, получить терминал, а после кражи денег – подождать несколько дней, пока платеж картой зачислится на счет, а потом вывести его. Скорее всего, кто-то из жертв заподозрит это гораздо быстрее, чем деньги будут выведены из банка.

Следовательно, самый опасный с точки зрения мошенничества способ платежа – это магнитная полоса, но благодаря развитию банковских технологий даже этот риск сведен к минимуму.

Риски оплаты смартфоном

Сейчас в России расплачиваться через смартфон можно, в основном, только через Mir Pay – платежные сервисы Google Pay и Apple Pay с российскими банками уже не работают.

При привязке карты к платежному сервису она токенизируется в смартфоне. Это означает, что в устройстве сохраняются ключи для быстрого доступа к оплате – они обеспечивают своего рода переадресацию на данные банковской карты (причем в смартфоне данные карты не хранятся).

Привязать карту к смартфону можно, зная ее реквизиты и имея доступ к номеру телефона, на который карта оформлена. Соответственно, привязать к своему смартфону найденную на улице карту не получится – для этого нужен ее реальный держатель.

Тем не менее, стоит учитывать один важный момент: мошенники часто используют методы социальной инженерии, и один из таких методов – выманивание сначала данных карты, а потом и кода подтверждения ее привязки к смартфону. Затем злоумышленник может оплачивать покупки со своего смартфона картой, даже не имея ее при себе (и держатель карты может не сразу об этом догадаться).

В остальном оплата картой через смартфон относительно безопасна – если потерять его, то для оплаты нужно разблокировать экран. Для этого нужен либо отпечаток пальца владельца гаджета, либо пин-код для разблокировки экрана – без установленной блокировки экрана эти платежные сервисы работать не будут.

Впрочем, и здесь могут быть неоднозначны ситуации – раньше мы писали о случае, как у девушки «увели» iPhone, как-то его разблокировали, оформили несколько кредитов в разных банках и вывели миллионы рублей со счетов. Однако при грамотном использовании гаджета и соблюдении всех правил безопасности больших рисков в такой форме оплаты нет.

Карта скомпрометирована – что это значит и можно ли с этим что-то сделать?

При оформлении пластиковой карты или открытии личного кабинета в системе онлайн-банка клиента уведомляют, что все персональные данные должны быть надежно защищены от третьих лиц. Раскрытие этих данных влечет за собой угрозу потери собственных средств за счет деяний злоумышленников. Что означает компрометация карты, как это может произойти, и чья будет вина, в случае пропажи со счета денег без ведома собственника, разберем дальше.

Что означает компрометация карты?

Компрометация карты означает, что секретная информация, которая должна быть известна исключительно ее держателю, стала доступна третьим лицам.

Подобная утечка может произойти как по вине самого клиента (небрежное отношение к карте ¬– карту оставили у всех на виду, ее данные были переданы третьему лицу лично клиентом), так и добыта преступным путем (карту украли, считали с нее данные без ведома держателя, информацию с карты сфотографировал кассир в магазине и др.). А бывает, что утечка происходит вообще в самом банке: есть случаи взлома базы, секретную информацию мог использовать сотрудник банка без ведома клиента и др.

В любом случае лучше перестраховаться и срочно принять меры, даже если точно неизвестно, попали ли в чужие руки сведения.

Какие данные карты должны быть сохранены владельцем в тайне?

К секретным данным, которые не должны стать известны никому, кроме владельца карты, можно отнести следующий набор информации:

    Сведения, эмбоссированные (выдавленные) непосредственно на карте : ее номер вместе со сроком действия, имя и фамилия владельца написанные латиницей и, конечно же, CVV2, CVC2 и CVP2 коды, которые прописаны в виде трехзначного числа на обороте карты. По сути, это все один вид кода – просто его названия отличаются у разных платежных систем (Visa, MasterCard и МИР).

Важно! Номер карты можно свободно передавать другим людям, к примеру, чтобы они могли ее пополнить. Но другая информация больше никому не может пригодиться, кроме как для перевода уже с карты.

Не забывайте! Злоумышленниками могут быть не только посторонние люди. Доступ к перечисленным выше данным не должны иметь даже ваши близкие. Так как по правилам банка передача данных родственникам тоже является компрометацией.

Варианты компрометации карты

Скомпрометировать карту можно по-разному, причем о некоторых рисках клиент может даже не догадываться:

  1. Если держать пластиковую карту вместе с пин-кодом, написанным на листке бумаги, то вероятность компрометации возрастает в случае утери их или кражи, к примеру, вместе с бумажником или сумкой.
  2. Вводя данные от личного кабинета или пин-код на клавиатуре банкомата в присутствии постороннего.
  3. При посещении поддельного (фишингового) сайта и вводе данных карты в соответствующие поля (вариантов несколько – фальшивый выигрыш, перевод и т.д.).
  4. В случае утери самой карты или если ее задержит банкомат. Совершенно не важно, вернули ли саму карту третьи лица, или ее достали из банкомата инкассаторы. Данные по ней уже будут известны посторонним.
  5. При передаче карты для расчетов в кафе или магазине без присутствия самого клиента.
  6. Данные могут быть скомпрометированы при использовании открытого канала Wi-Fi или общедоступного устройства (компьютера, планшета).
  7. Мошенники могут установить на банкомат камеру для записи введенных данных и устройства для считывания данных с самой карты.

Кто должен ответить за пропажу со счета средств?

Теперь о самом интересном: кто же будет нести ответственность за компрометацию карты? В большинстве случаев вина за раскрытие информации лежит непосредственно на держателе карты.

Произошла кража или утеря пластика, клиент сам раскрыл свои данные – значит и ответственность за пропажу средств будет лежать на нем. Для решения проблемы можно подать заявление в полицию, тогда в случае поимки злоумышленника его можно будет обязать через суд компенсировать убытки.

Но если данные стали известны посторонним по вине банка (скрытые устройства на банкомате, вина сотрудников банка, произошел взлом банковской системы), тогда банк обязуется возместить клиенту его ущерб. А потом уже сам будет судиться с теми, кто все это организовал.

Что делать держателю скомпрометированной карты?

Напомним, что скомпрометированной карта будет считаться, даже если есть только предположение, что секретные данные стали известны посторонним. В таких случаях клиенту необходимо:

  1. Сменить пароль от учетной записи онлайн-банка, если стала известна эта информация.
  2. Как можно скорее заблокировать карту, особенно если она утеряна или украдена.
  3. Заказать перевыпуск карты.

Лучше заплатить пару сотен за выдачу новой карты, чем потерять все накопления из-за не проявленной бдительности.

Следовательно, при возникновении одной из проблем, лучше заменить карту и в дальнейшем быть более внимательным при ее использовании и хранении.

Автор статьи

Куприянов Денис Юрьевич

Куприянов Денис Юрьевич

Юрист частного права

Страница автора

Читайте также: