Главная > Публикации > RBK.money: мошенники не пройдут

Согласно данным отчета Group-IB Hi-Tech Crime Trends 2020-2021, объем рынка мошенничества с платежными картами растет. С 2019 по 2020 год число мошеннических операций увеличилось на 116% — с $880 млн до $1,9 млрд. Атаки затронули как текстовые данные – номер, имя держателя, СVV, так и содержимое магнитных полос платежных карт.

Безопасность онлайн-платежей и защита конфиденциальных данных клиентов – приоритет платежного сервиса RBK.money. Для совершения безопасных транзакций наша компания использует проверенные и надежные технологии защиты от мошеннических вмешательств. Мы применяем целый комплекс защитных методов, который обеспечивает безопасность платежей в интернете со всех сторон.

  • 7 защитных механизмов платежного сервиса RBK.money, каждый из которых образует и дополняют безопасную экосистему агрегатора:

    1. Соответствие международным стандартам и требованиям регуляторов 

  • Платежный сервис ежегодно проходит проверку на соответствие требованиям международного стандарта PCI DSS, а также отвечает нормативным требованиям положения ЦБ РФ № 382-П от 09.06.2012 г. 


  • PCI DSS – стандарт безопасности данных индустрии платежных карт. Учрежден международными платежными системами: Visa, MasterCard, American Express, JCB и Discover. Состоит из 12 пунктов-требований, каждый из которых обеспечивает безопасность данных держателей платежных карт. 

  • RBK.money осуществляет защиту персональных данных в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27.07.2006 г.

  • 2. Обеспечение защиты пользовательских данных и безопасности платежей

  • Защита персональных данных. На каждой стадии обработки информации шифруются чувствительные данные (sensitive data) плательщика. 

  • Технология 3D-Secure. Для платежей с использованием банковских карт сервис обеспечивает поддержку XML-протоколом 3D Secure, что создает дополнительный барьер безопасности.

  • Безопасное программирование. Платежный сервис разрабатывает и тестирует сервисы в соответствии с лучшими практиками безопасного программирования.

  • 3. Антифрод-решение RBK.money Fraudbusters

    Система фрод-мониторинга помогает обезопасить онлайн-магазины от мошеннических транзакций. Платежный сервис RBK.money разработал собственное антифрод-решение RBK.money Fraudbusters – антифрод с открытым кодом на основе анализа данных, собранных за 17 лет обслуживания более 30 000 клиентов.

    Антифрод – это своеобразный набор правил, по которым та или иная транзакция определяется как подозрительная или доверенная, а также элемент машинного обучению, который самообучается на живых примерах и с каждым разом точнее оценивает новые платежи. С помощью антифрода внутренние системы понимают: сам ли пользователь произвел платеж или в руки злоумышленников попали данные карты, поэтому выполнение платежа лучше приостановить.

    Антифрод RBK.money Fraudbusters – это программных комплекс с открытым исходным кодом, построенный на технологии open-source.
    Почему мы выбрали именно open-source решение:

  • Одна из проблем закрытой системы – ограниченный круг тех, кто имеет к ней доступ и может проанализировать несовершенства системы. У модели антифрода с открытым кодом больше возможностей и «рук», которые заметят и улучшат механизм до наступления критической ситуации. 

  • В арсенале open-source сообщества множество специалистов – эксперты из информационной безопасности или энтузиасты-любители машинного обучения. Вероятность оперативно находить в механизме уязвимости и быстро их устранять возрастает в несколько раз.

  • В open-source сообществе возникает отличная возможность обмена профессиональной экспертизой. Трансляция опыта от одного к другому позволяет создавать более безопасные и удобные для отрасли продукты.

  • Антифрод на открытом коде, используемый сразу несколькими банками, содержит более актуальные записи о шаблонах мошеннических операций и их видах, нежели закрытый внутрибанковский. В случае нахождения новой уязвимости банк сообщит о ней всем дружественным банкам и злоумышленникам будет сложнее повторить мошеннический сценарий. 

  • Подробнее об open-source решении RBK.money мы писали здесь.

  • 4. Урегулирование опротестований


  • Опротестование платежей (Chargebacks) — один из наиболее сложных моментов, который может возникнуть при приеме онлайн платежей. Служба безопасности платежного сервиса помогает правильно организовать претензионную работу с банком-эквайером, чтобы минимизировать временные и финансовые потери со стороны клиента.

  • Особенно это касается кейсов «потребительского экстремизма», когда покупатель намеренно инициирует чарджбеки – например, после получение услуги или товара. Платежный сервис встает на защиту клиентов и помогает пройти процедуру опротестования как можно безболезненнее.


    5. Escrow-платежи

  • Escrow-платежи защищают клиента и интернет-магазин от мошенничества при покупках и продажах через онлайн ресурсы. При использовании escrow-платежей денежные средства поступают на счет продавца только после выполнения условий сделки.
    Оплата за товар передается не сразу продавцу, а независимой третьей стороне – эскроу-агенту: гарант-сервису или банку, где открыт эскроу-счет. Денежные средства сохраняются там до передачи и проверки заказа покупателем. После чего платеж направляется на расчетный счет продавца.

  • Так, escrow-платежи защищают обе стороны от мошенничества и подлога при покупках и продажах в интернете. Интернет-магазин фактически получает 100% предоплату за товар и застраховывает себя от неуплаты со стороны покупателя, если тот не выполнит свои обязательства. Покупатель в свою очередь защищен от махинаций недобросовестных продавцов.

    6. Программа BugBounty: вознаграждение за уязвимости в безопасности сервиса



  • RBK.money участвует в программе BugBounty, направленной на поощрение исследования безопасности сервисов агрегатора. Каждый it-специалист или сторонний исследователь информационный безопасности может получить вознаграждение за найденную уязвимость в системе RBK.money. Минимальная сумма награды – 50$, максимальная зависит от критичности уязвимости.

    Платежный сервис ответственно относится к защите конфиденциальных данных пользователей от любых угроз. Программа BugBounty, в дополнение к уже используемым средствам защиты, выступает еще одним инструментов в обеспечении информационной безопасности системы. C ее помощью RBK.money привлекает независимых исследователей информационной безопасности для улучшения защищенности платформы. 

  • Подробнее об условиях и области действия программы, квалифицируемых и неквалифицируемых уязвимостях, требованиях к отчетам об уязвимостях, политике вознаграждения и политике раскрытия информации здесь.


    7. Мероприятия по безопасности

    RBK.money из года в год участвует в мероприятиях, где демонстрирует безопасность платежного сервиса: ZERO NIGHTS, AntiFraud Russia, Russian Tech Week.
    Например, в прошлом году наша компания поучаствовала в онлайн-битве профессионалов и энтузиастов кибербезопасности на платформе The Standoff, в рамках которой предоставила свой платежный процессинг финансовой системе виртуального города.

  • Киберполигон The Standoff – виртуальный город с точной копией важнейших элементов инфраструктуры реального мира: морской порт, железнодорожный терминал, пожарная часть, аэропорт, электрическая подстанция, деловой и финансовый центр современного города. В рамках киберучений на платформе разворачивается противостояние кибер-специалистов (blueteams) и хакеров (redteams) за ресурсы виртуального мира. С помощью площадки The Standoff участники-компании могут оценить реальный уровень защищенности своих технологий и то, с какими последствиями они столкнутся, в случае успешной кибератаки.

    По итогу киберучений финансовая экосистема города получила весомый урон: более половины заложенных рисков было реализовано. В местном банке только платежный процессинг, предоставленный нашим сервисом RBK.money, выдержал атаки хакеров. Нападающим командам не удалось нарушить работу процессингового центра виртуального города и вызвать задержку в обработке платежных операций.

  • Участие в таких мероприятиях, как The Standoff, демонстрирует качество защитных механизмов сервиса, а также готовность бросить вызов для усовершенствования безопасности экосистемы платформы.


  • Каждый из комплекса защитных механизмов RBK.money направлен на одно – обеспечить беспрепятственный и гибкий прием платежей нашим клиентам. C RBK.money – это не только просто, но и безопасно.

 

fl̉ÂÍÒ.ÃÂÚË͇