PIN-коды банковских карт. Как современные технологии вытесняют бумажную почту

    Сегодня в банковском обслуживании ожидания клиентов, пользующихся мобильными технологиями, существенно повысились. Технологический скачок повлек за собой рост моментально доступных сервисов, что, в свою очередь, определило требования пользователей. Банки, которые активно развивают мобильные возможности, предлагают опции предоставления финансовой информации в реальном времени, а также новейшие достижения мобильных технологий.



    По данным облачного вычислительного центра Salesforce, который базируется в США, почти половина респондентов из числа молодежи (поколение Y, или миллениалов) ответила, что хочет получать банковские SMS-оповещения. Из 285 пользователей на такие оповещения подписались 43% респондентов.

    Это один из тех редких типов контента, который пользователи, как правило, готовы лояльно принимать на свой смартфон. Ещё бы! Ведь это деньги, которые, как известно любят счет и контроль.

    При управлении или просмотре личных финансов клиент полностью сосредоточен на изучении информации, которая предоставляется через мобильное устройство. Это обусловлено тем, что банк отправляет данные, которые: a) полностью релевантны и b) хорошо защищены. Таким образом, задача банка заключается в том, чтобы объединить плавную интеграцию, безопасность и мобильность.

    В последние годы профессиональные платформы SMS тратят массу времени и ресурсов на разработки решений A2P SMS, которые способны справиться с подобными задачами. Таким образом, специализированные провайдеры предоставляют в пользование банкам и владельцам карт системы SMS для предприятий, которые включают широкий спектр мобильных финансовых сервисов.

    В результате серьезных исследований и обновлений инфраструктуры безопасности возможности нового поколения SMS-систем были значительно расширены, и теперь они включают опции по доставке незащищенных данных для аутентификации – к примеру, PIN-кодов для банковских карт – в режиме реального времени. Такой тип защищенного процесса SMS (SSMS) во многом близок к стандартному сервису на основе пиcем.

    Все мы помним эти банковские защищенные конверты с PIN-кодами внутри. Эта технология связана с некоторыми рисками, расходами и временем на доставку. Кроме того, владельцы карт не могут пользоваться новыми картами пока не прилетит почтовый голубь. Шутки-шутками, но такие временные интервалы влекут за собой финансовые потери. Обычная почтовая доставка занимает порядка недели, и банки теряют время на предоставление PIN-кода. Такие потери составляют порядка 2% от ожидаемых ежегодных затрат на каждую впервые выпущенную карту. Фактически наши внутренние исследования показали, что в среднем экономия по сравнению со стандартными печатными и отправляемыми по почте данными составляет 40-60% на каждый PIN.



    Сегодня с помощью специализированного провайдера столь долгий процесс можно легко заменить удобной мобильной доставкой PIN-кодов.

    Как это работает?


    Все сообщения, которые отправляются через наши SSMS-платформы, доставляются напрямую доверенному телекоммуникационному оператору через коммуникационный канал Payment Card Industry Data Security Standard (PCI DSS) Level 1. Такой защищенный процесс по доставке PIN-кода работает без посредников и обеспечивает безопасность на протяжении всего цикла.

    Шифрование RSA 2048-bit, открытые и личные ключи используются для обеспечения безопасности в течение процесса обмена информацией. Клиент запрашивает PIN, предоставляя соответствующие секретные данные – комбинацию секретного слова, номер карты и телефонный номер, которые используются для того, чтобы выбрать корректный PIN. После создания и шифрования PIN-кода он хранится отдельно от мобильного телефона, а секретное слово применяется в процессе пользования картой. В течение этого процесса никто не может восстановить или перехватить PIN-коды для конкретной карты. После успешной доставки PIN-код автоматически удаляется из системы.



    Технологии безопасности


    Постоянная адаптация систем обнаружения фактов мошенничества для транзакций по кредитным картам ввиду возросшего количества опасных сценариев – основная задача для всех основных игроков в сфере финансов. Однако количество случаев мошенничества может сократиться благодаря использованию подходящих технологий.

    Многие владельцы карт путешествуют за границу, и банки, работающие по всему миру, должны обеспечивать проведение многочисленных транзакций на международном уровне. Использование сервисов – таких, как Проверка номера и геолокация – позволяет определять, находится ли клиент в роуминге, и использовать данные для точной оценки рисков мошенничества.

    Если попытка осуществления транзакции по карте зарегистрирована за границей, мы можем определить, находится ли мобильный номер клиента в роуминге или нет. Если номер не в роуминге, то пользователь, вероятно, не находится за границей, и законность проведения транзакции вызывает сомнение. Таким образом, используя данные по определению локации банкомата, такая система позволяет банкам осуществлять дополнительную проверку до блокировки кредитной карты с целью предупреждения подобных мошеннических сценариев.

    В мире, где мобильные технологии занимают два из трех наиболее частых способов оповещений от банков, предпочитаемых молодой аудиторией, и где 27% полностью полагаются на мобильные банковские приложения, важно, чтобы банки осуществляли постоянную коммуникацию с клиентами на предложенных клиентами условиях. Эти технологии становятся такими же привычными, как голосовая связь или интернет и пользователи ожидают адекватных современным условиям решений от банков.
    Infobip
    32,44
    Решения для обмена мобильными сообщениями.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 5

      0
      Из статьи осталось неясным, как связаны между собой некие приватные ключи и SMS на телефонах.
      То что карточные процессинги не хранят пин, понятно.
      То что в карточном процессинге где-то лежат приватные ключи, которые участвуют в авторизации пинов, тоже понятно.
      Но причем здесь SMS на телефонах?
      SMS-ки ходят по обычным условным sms-сным протоколам. Приватность обеспечивается только на уровне инфраструктуры. Соответственно доступ к sms-кам имеют все те, кто имеет доступ к инфраструктуре. Т.е. в связке Банк-Оператор это несколько десятков или сотен человек. Понятно, что есть сертификация PCI DSS. Но те, кто надеется, что наличии сертификации PCI DSS автоматически гарантирует недоступность пинов — они несколько самонадеянны.

      В целом, тенденция использования SMS-ок вместо бумажных конвертов удручает. С конвертами хотя бы понятно, кто физически имеет доступ в помещение с принтером.
        0
        Попросил технического эксперта Infobip написать ответ.
        Ниже его комментарий:

        «В стандартный процесс доставки, подразумевающий распечатку и доставку до локального отделения банка, вовлечено множество людей, что существенно повышает риски вскрытия конверта и срок доставки. Мы же предлагаем автоматизировать данный процесс, причем кодовое слово, необходимое для активации, возможно внести автоматически путем отправки „смс“.
        В данном случае мы полностью исключаем доступ третьих лиц к данным, необходимым для верификации пользователя, включая сотрудников банка. На нашей платформе данные сообщения не логируются. Т.е. журнал аудита предоставляет нам полную информацию касательно того, кому из клиентов банка и в какой момент наша система выполнила верификацию и расшифровала, и отправила ПИН от карты, однако сам контент на нашей платформе не хранится.
        Единственное слабое звено — между платформой Инфобип и мобильным оператором. Но тут так же присутствуют плюсы. Даже в случае перехвата данного сообщения — злоумышленнику оно не даст ровным счетом ничего. Мы не передаем ни CCV код с обратной стороны карты, ни информацию о картодержателе, ни срок действия карты или же полный номер карты/счета. Т.е. даже если кто-то увидит смс с текстом „Ваш пин 2525“ — этих данных недостаточно для взлома клиентского счета.
        Аналогичным способом у многих банков реализован подобный способ доставки кодов, только голосом через IVR. И скепсиса касательно безопасности данный способ не вызывает. Так почему бы не доставлять через смс?
          0
          ПИНы через IVR тоже удручают, увы.

          Объективно подходя к вопросу, телефонные технологии по определению не являются секурными. Их не создавали для этого.

          Также можно, например, слать ПИН по электронной почте. В частном случае, тоже можно обеспечить его безопасность со стороны инфраструктуры. Будет ли такой подход в целом правильным?

          И сейчас же мы не рассматриваем особенности работы конкретной компании. Мы говорим про технологии. Про их сильные и слабые стороны. Слать ПИН по SMS — не самое лучшее решение с точки зрения безопасности. С точки зрения удобства конечного пользователя — очень может быть, что удобно.

          зы
          сейчас почти все телефоны обладают функционалом загрузки содержимого телефона в облако.
          т.е. пин твоей карты уже лежит где-то в интернете… узас-узас
            0
            Чтобы отправлять PIN по электронной почте, нужно, как минимум, быть уверенным, что данное письмо обойдет все спам фильтры и не будет заблокировано многочисленными файрволами на пути к адресату. И в данном случае мы точно делимся пинкодом с системным администратором домена (в случае корпоративной почты) или с сотрудниками публичного почтового сервиса (google, mail и т.д.).

            В случае использования смс/голоса для доставки – уровень безопасности во многом зависит от страны в которой реализовывается сервис и ее законодательства. В идеале, нужно требовать от операторов того же уровня безопасности, не хранения логов и т.д.
            Однако, на территории РФ операторы вынуждены хранить логи сообщений. Естественно, в рамках реального клиента, оператор готов идти на встречу (выделение отдельного подключения для данного сервиса, согласования лимитированного списка сотрудников, которые имели бы доступ к мониторингу данного канала и т.д.) Как правило, такие вопросы уже решаются в рамках трехсторонних встреч, исходя из необходимых требований банка.
        0
        интересно когда банки осилят телеграм ботов для оповещений

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое