Поиск
Тарифы Блог
К списку новостей
Время чтения: 11 минут

RBK.money: мошенники не пройдут

Согласно данным отчета Group-IB Hi-Tech Crime Trends 2020-2021, объем рынка мошенничества с платежными картами растет. С 2019 по 2020 год число мошеннических операций увеличилось на 116% — с $880 млн до $1,9 млрд. Атаки затронули как текстовые данные – номер, имя держателя, СVV, так и содержимое магнитных полос платежных карт.

Безопасность онлайн-платежей и защита конфиденциальных данных клиентов – приоритет платежного сервиса RBK.money. Для совершения безопасных транзакций наша компания использует проверенные и надежные технологии защиты от мошеннических вмешательств. Мы применяем комплекс из методов протекции, которая обеспечивает безопасность платежей в интернете со всех сторон.

7 защитных механизмов платежного сервиса RBK.money, каждый из которых образует и дополняют безопасную экосистему агрегатора:

1) Соответствие международным стандартам и требованиям регуляторов

  • Платежный сервис ежегодно проходит проверку на соответствие требованиям международного стандарта PCI DSS, а также отвечает нормативным требованиям положения ЦБ РФ № 382-П от 09.06.2012 г.

  • PCI DSS – стандарт безопасности данных индустрии платежных карт. Учрежден международными платежными системами: Visa, MasterCard, American Express, JCB и Discover. Cостоит из 12 пунктов-требований, каждый из которых обеспечивает безопасность данных держателей платежных карт.

  • RBK.money осуществляет защиту персональных данных в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27.07.2006 г.


  • 2) Обеспечение защиты пользовательских данных и безопасности платежей

    • Защита персональных данных. На каждой стадии обработки информации шифруются чувствительные данные (sensitive data) плательщика.
    • Технология 3D-Secure. Для платежей с использованием банковских карт сервис обеспечивает поддержку XML-протоколом 3D Secure, что создает дополнительный барьер безопасности.
    • Безопасное программирование. Платежный сервис разрабатывает и тестирует сервисы в соответствии с лучшими практиками безопасного программирования.

    • 3) Антифрод-решение RBK.money Fraudbusters

      Система фрод-мониторинга помогает обезопасить онлайн-магазины от мошеннических транзакций. Платежный сервис RBK.money разработал собственное антифрод-решение RBK.money Fraudbusters – антифрод с открытым кодом на основе анализа данных, собранных за 17 лет обслуживания более 30 000 клиентов.

      Антифрод – это система, своеобразный набор правил, по которым та или иная транзакция определяется как подозрительная или доверенная, а также элемент машинного обучению, который самообучается на живых примерах и с каждым разом точнее оценивает новые платежи. С помощью антифрода внутренние системы понимают: сам ли пользователь произвел платеж или в руки злоумышленников попали данные карты, поэтому выполнение платежа лучше приостановить.

      Антифрод RBK.money Fraudbusters – это программных комплекс с открытым исходным кодом, построенный на технологии open-source. И вот почему:

    • Одна из проблем закрытой системы – ограниченный круг тех, кто имеет к ней доступ и может проанализировать несовершенства системы. У модели антифрода с открытым кодом больше возможностей и «рук», которые заметят и улучшат механизм до наступления критической ситуации.
    • В арсенале open-source сообщества множество специалистов, в том числе из информационной безопасности, и любителей машинного обучения. Вероятность оперативно находить в механизме уязвимости и быстро их устранять возрастает в несколько раз.
    • В open-source сообществе возникает отличная возможность обмена профессиональной экспертизой. Трансляция опыта от одного к другому позволяет создавать более безопасные и удобные для отрасли продукты.
    • Антифрод на открытом коде, используемый сразу несколькими банками, содержит более актуальные записи о шаблонах мошеннических операций и их видах, нежели закрытый внутрибанковский. В случае нахождения новой уязвимости банк сообщит о ней всем дружественным банкам и злоумышленникам будет сложнее повторить мошеннический сценарий.
    • Подробнее об open-source решении RBK.money мы писали здесь.

      4) Урегулирование опротестований

      Опротестование платежей (Chargebacks) — один из наиболее сложных моментов, который может возникнуть при приеме онлайн платежей. Служба безопасности платежного сервиса помогает правильно организовать претензионную работу с банком-эквайером, чтобы минимизировать временные и финансовые потери со стороны клиента.

      Особенно это касается кейсов «потребительского экстремизма», когда покупатель намеренно инициирует чарджбеки – например, после получение услуги или товара. Платежный сервис встает на защиту клиентов и помогает пройти процедуру опротестования как можно безболезненнее.

      5) Escrow-платежи

      Escrow-платежи защищают клиента и интернет-магазин от мошенничества при покупках и продажах через онлайн ресурсы. При использовании escrow-платежей денежные средства поступают на счет продавца только после выполнения условий сделки.

      Оплата за товар передается не сразу продавцу, а независимой третьей стороне – эскроу-агенту: гарант-сервису или банку, где открыт эскроу-счет. Денежные средства сохраняются там до передачи и проверки заказа покупателем. После чего платеж направляется на расчетный счет продавца.

      Так, escrow-платежи защищают обе стороны от мошенничества и подлога при покупках и продажах в интернете. Интернет-магазин фактически получает 100% предоплату за товар и застраховывает себя от неуплаты со стороны покупателя, если тот не выполнит свои обязательства. Покупатель в свою очередь защищен от махинаций недобросовестных продавцов.

      6) Программа BugBounty: вознаграждение за уязвимости в безопасности сервиса

      RBK.money участвует в программе BugBounty, направленной на поощрение исследования безопасности сервисов агрегатора. Каждый it-специалист или сторонний исследователь информационный безопасности может получить вознаграждение за найденную уязвимость в системе RBK.money. Минимальная сумма награды – 50$, максимальная зависит от критичности уязвимости.

      Платежный сервис ответственно относится к защите конфиденциальных данных пользователей от любых угроз. Программа BugBounty, в дополнение к уже используемым средствам защиты, выступает еще одним инструментов в обеспечении информационной безопасности системы. C ее помощью RBK.money привлекает независимых исследователей информационной безопасности для улучшения защищенности платформы.

      Подробнее об условиях и области действия программы, квалифицируемых и неквалифицируемых уязвимостях, требованиях к отчетам об уязвимостях, политике вознаграждения и политике раскрытия информации здесь.

      7) Мероприятия по безопасности

      RBK.money из года в год участвует в мероприятиях, где демонстрирует безопасность платежного сервиса: ZERO NIGHTS, AntiFraud Russia, Russian Tech Week.

      В период с 12 по 17 ноября наша компания поучаствовала в онлайн-битве профессионалов и энтузиастов кибербезопасности на платформе Russian Tech WeekThe Standoff, в рамках которой предоставила свой платежный процессинг финансовой системе виртуального города.

      Киберполигон The Standoff – виртуальный город с точной копией важнейших элементов инфраструктуры реального мира: морской порт, железнодорожный терминал, пожарная часть, аэропорт, электрическая подстанция, деловой и финансовый центр современного города. В рамках киберучений на платформе разворачивается противостояние кибер-специалистов (blueteams) и хакеров (redteams) за ресурсы виртуального мира. С помощью площадки The Standoff участники-компании могут оценить реальный уровень защищенности своих технологий и то, с какими последствиями они столкнутся, в случае успешной кибератаки.

      По итогу киберучений финансовая экосистема города получила весомый урон: более половины заложенных рисков было реализовано. В местном банке только платежный процессинг, предоставленный сервисом RBK.money, выдержал атаки хакеров. Нападающим командам не удалось нарушить работу процессингового центра виртуального города и вызвать задержку в обработке платежных операций.
      Участие в таких мероприятиях, как The Standoff, демонстрирует качество защитных механизмов сервиса, а также готовность бросить вызов для усовершенствования безопасности экосистемы платформы.

      Каждый из комплекса защитных механизмов RBK.money направлен на одно – обеспечить беспрепятственный и гибкий прием платежей нашим клиентам. C RBK.money – это не только просто, но и безопасно.