Рекомендації НБУ

Рекомендації НБУ

ЕЛЕКТРОННА ПОШТА

Національний банк України Банкам України,

Департамент платіжних систем Територіальним управлінням

Національного банку України,

Асоціації українських банків, Асоціації «Український Кредитно-Банківський союз»,

Асоціації «Український союз учасників НСМЕП»,

Українській Міжбанківській Асоціації членів платіжних систем «ЕМА»

15.04.2010 № 25-312/943-5139

Щодо безпеки ринку платіжних карток України

Національний банк України проаналізував інформацію, яка була надана банками України в річному звіті за 2010 рік щодо збитків банків, держателів платіжних карток і торговців через незаконні дії/сумнівні операцій з платіжними картками і повідомляє.

Як свідчить аналіз звітності у 2010 році кількість банків-членів платіжних систем, що зазнали збитки, становила 43 банки.

Кількість шахрайських операцій з використанням платіжних карток, порівняно з 2009 роком, зменшилась на 7 227 одиниць і становила 2 916 операцій, а сума збитків за цими операціями зменшилась на 6 666 тис. грн. і становила 6 304 тис. грн.

Практично всі операції (99,7% від їх загальної кількості), через які було завдано збитків банкам, держателям платіжних карток та торговцям були здійснені з використанням платіжних карток міжнародних платіжних систем Visa (55,27%) та MasterCard (44,45%). У 2010 році Національна система масових електронних платежів та система «УкрКарт» не зазнали жодних втрат.

Це здебільшого пояснюється тим, що банки-члени цих платіжних систем не приділяють значної уваги безпеці розрахунків, захисту інформації, не здійснюють належним чином моніторинг і відеонагляд за банкоматами та продовжують емітувати спеціальні платіжні засоби з магнітною смугою, які є недостатньо захищеними.

Протягом останнього часу на адресу Національного банку України, Міністерства внутрішніх справ України, Генеральної прокуратури України, надходять скарги громадян щодо несанкціонованого списання коштів з рахунків, невидачі готівки банкоматами, неналежного моніторингу за їх роботою та неможливості оперативного врегулювання спірних ситуацій під час звернення до банків тощо.

Враховуючи ситуацію, що склалася, Національним банком України за участю представників Міністерства внутрішніх справ України та банків-членів платіжних систем 17 лютого 2011 року було проведено міжвідомчу нараду з питань запобігання та протидії шахрайським діям із використанням платіжних карток (далі — міжвідомча нарада). На міжвідомчій нараді були досягнуті домовленості щодо:

  • вжиття банками України заходів, які надаватимуть можливість максимально убезпечити здійснення операцій з використанням платіжних карток через платіжні пристрої;
  • співпраці з фахівцями Міністерства внутрішніх справ України для протидії шахрайським та злочинним діям із використанням платіжних карток;
  • дотримання рекомендацій щодо запобігання та протидії шахрайським діям, які були напрацьовані фахівцями на міжвідомчій нараді (рекомендації банкам України та витяг протоколу міжвідомчої наради додаються).

Враховуючи викладене, з метою запобігання і протидії шахрайським операціям з використанням спеціальних платіжних засобів та керуючись статтею 42 Закону України «Про платіжні системи та переказ коштів в Україні», зобов’язуємо банки вжити відповідних заходів щодо запобігання і протидії шахрайству з використанням спеціальних платіжних засобів, які були напрацьовані на міжвідомчій нараді (із врахуванням рекомендацій Міністерства внутрішніх справ України).

Додаток 1: Рекомендації банкам України щодо запобігання і протидії шахрайським операціям з використанням спеціальних платіжних засобів;

Додаток 2: витяг протоколу міжвідомчої наради — 1 стор.;

Заступник Голови В.І. Ричаківська

Самойленко А.В.

254-04-47

25PLAS@U0H0

Додаток 1

РЕКОМЕНДАЦІЇ БАНКАМ УКРАЇНИ

щодо запобігання і протидії шахрайським операціям з використанням спеціальних платіжних засобів

1. Для оперативного отримання та передачі інформації про зафіксовані випадки шахрайства приєднатися до захищеної міжбанківської системи обміну інформацією про шахрайства «Exchange-online» та забезпечити відповідальних працівників банку доступом до зазначеної системи.

2. Сприяти взаємному інформуванню банків, Асоціації «Український союз учасників НСМЕП» та Асоціації «ЄМА» (зокрема шляхом використання системи «Exchange-online») про виявлені випадки шахрайства.

3. Забезпечити належну перевірку інформації про компрометацію платіжних карток, банкоматів, платіжних терміналів та надання результатів перевірки Департаменту боротьби з кіберзлочинністю і торгівлею людьми Міністерства внутрішніх справ України, Асоціації «Український союз учасників НСМЕП» та Асоціації «ЄМА» для проведення аналізу із залученням виробників обладнання.

4. Емітентам та еквайрам забезпечити постійний моніторинг за операціями з використанням спеціальних платіжних засобів, які здійснюються через банкомати.

5. Провести інструктаж співробітників служб моніторингу про необхідність інформування Департаменту боротьби з кіберзлочинністю і торгівлею людьми Міністерства внутрішніх справ України стосовно випадків виявлення фактів проведення шахрайських дій для оперативної організації затримання осіб, причетних до них.

6. Забезпечити постійний контроль за роботою працівників, які здійснюють моніторинг роботи банкоматів та їх обслуговування.

7. Встановити контроль за підбором та роботою працівників, які за функціональними обов’язками мають доступ до інформаційних систем банків, ключової документації, а також мають можливість вносити зміни до їх інформаційних масивів.

8. Встановити відеоспостереження на банкомати, а в разі необхідності — додаткове освітлення приміщень тощо.

9. Встановити антивірусне програмне забезпечення на банкомати. Розробник програмного забезпечення банкоматів повинен надати перелік антивірусного програмного забезпечення, сумісного з розробленим програмним забезпеченням, а також рекомендації щодо можливості використання антивірусної перевірки в режимі реального часу та/або повного сканування жорстких дисків, режимів оновлення антивірусних баз та антивірусного програмного забезпечення.

10. Провести тестування комп’ютерів спеціальними програмними засобами аналізу захищеності для забезпечення захисту їх локальних ресурсів, що входять до складу банкомату, від несанкціонованого доступу. За результатами тестування розробити додаткові вимоги та рекомендації щодо усунення вразливостей операційної системи для відповідної програмно-апаратної реалізації комп’ютера банкомату. Ці вимоги повинні бути виконані постачальниками відповідного термінального обладнання.

11. У випадку встановлення на комп’ютер банкомату операційної системи, яка дозволяє розмежування прав доступу (Windows 2000, Windows XP тощо) програмне забезпечення доцільно запускати від імені користувача операційної системи, який не має адміністративних повноважень.

12. Забезпечити неможливість несанкціонованої заміни штатного програмного забезпечення банкомату на інше та встановлення додаткового програмного забезпечення.

13. Забезпечити автоматичне ведення програмним забезпеченням банкомату захищеного від несанкціонованої модифікації протоколу всіх дій (журналів).

14. У разі використання в банкоматі журнального принтера на його стрічку не виводити конфіденційну інформацію.

15. Вжити додаткові заходи для збереження банкоматів від пошкодження, демонтажу або викрадення.

16. Розробити та розмістити у доступному для клієнтів місці та на офіційній сторінці банку в мережі Інтернет рекомендації щодо безпеки здійснення операцій з використанням платіжних карток в банкоматах, безготівкової оплати товарів і послуг, у тому числі через мережу Інтернет.

17. Постійно проводити серед клієнтів банку роз’яснювальну роботу щодо дотримання ними правил безпеки під час здійснення розрахунків із використанням спеціальних платіжних засобів.

18. Неупереджено розглядати проблемні питання, які склалися у взаємовідносинах з клієнтами (держателями спеціальних платіжних засобів), уживати для їх покращення заходів, які б дали змогу врегулювати спори в договірному порядку.

19. Максимально прискорити перехід на застосування смарт-карток та поступово обмежити обслуговування карток з магнітною смугою.

20. Неухильно виконувати вимоги законодавства, у тому числі нормативно-правові акти Національного банку України в частині здійснення операцій з використанням спеціальних платіжних засобів.

Додаток 2

* * *

Витяг з протоколу № 1

Міжвідомчої наради з питань запобігання та протидії шахрайських дій із використанням платіжних карток

м. Київ 17.02.2011

Учасники наради вирішили що:

1. Національний банк України забезпечить доведення до відома банків та асоціацій інформацію про:

  • збитки банків, держателів платіжних карток і торговців через незаконні дії/сумнівні операції з платіжними картками за 2010 рік;
  • рішення (витяг) з протоколу міжвідомчої наради та рекомендацій, наданих листом МВС України від 28.12.2010 № 24349-Пп, які необхідно враховувати банкам у своїй роботі щодо запобігання та протидії шахрайству з використанням спеціальних платіжних засобів;
  • доцільність приєднання до системи міжбанківського обміну інформацією стосовно шахрайства з використанням платіжних карток «Exchange-online».

2. Міністерство внутрішніх справ України:

  • розробить оновлений протокол про взаємодію та обмін інформацією між банками та органами внутрішніх справ із дотриманням законодавства;
  • надішле оновлений проект протоколу банкам-членам платіжних систем та Асоціації «ЄМА» для узгодження і надання до нього пропозицій.

3. Асоціація «ЄМА»:

  • на підставі щоквартальних засідань Форуму з безпеки розрахунків інформуватиме Національний банк України про поточні тенденції та виявлені факти шахрайства з платіжними картками та пропозиції щодо заходів, які доцільно впроваджувати банкам-членам платіжних систем для протидії картковій злочинності.

3. Банки України:

  • максимально прискорять перехід на застосування смарт-карток та поступово обмежать обслуговування карток з магнітною смугою;
  • з врахуванням рекомендацій, наданих листом Міністерства внутрішніх справ України від 28.12.2010 № 24349-Пп забезпечать виконання зазначених заходів;
  • розмістять на офіційних сторінках у мережі Інтернет рекомендації держателям платіжних карток щодо безпеки здійснення операцій з їх використанням та доведуть їх до відома користувачів банківських послуг.
  • дотримуватимуться запропонованих заходів про співпрацю та забезпечуватимуть з урахуванням вимог законодавства про банківську таємницю та захист персональних даних належний обмін інформацією з Міністерством внутрішніх справ та Асоціацією «ЄМА» про випадки шахрайства в порядку передбаченому протоколом про взаємодію.