Памятка по безопасности использования платёжных карт
Составлена с учётом рекомендаций Центрального банка России (Письмо от 02.10.2009 № 120-Т).
Соблюдение рекомендаций, содержащихся в Памятке, позволит обеспечить максимальную сохранность банковской карты, ее реквизитов, ПИН и других данных, а также снизит возможные риски при совершении операций с использованием банковской карты.
Общие рекомендации
Никогда не сообщайте свои ПИН-коды третьим лицам, в том числе родственникам и знакомым.
ПИН необходимо запомнить и не хранить его на материальных носителях, особенно совместно с банковской картой.
Никогда ни при каких обстоятельствах не передавайте банковскую карту для использования третьим лицам, в том числе родственникам.
С целью предотвращения неправомерных действий по снятию всей суммы денежных средств с банковского счета целесообразно установить ежемесячный лимит на сумму операций по банковской карте и одновременно подключить электронную услугу оповещения о проведенных операциях (например, оповещение посредством SMS-сообщений или иным способом).
При получении просьбы сообщить персональные данные или информацию о банковской карте (в том числе ПИН) не сообщайте их. Перезвоните эмитенту банковской карты (организацию, выдавшую карту) и сообщите о данном факте.
Не рекомендуется отвечать на электронные письма, в которых от банка предлагается предоставить персональные данные. Не следуйте по «ссылкам», указанным в письмах (включая ссылки на сайт банка), т. к. они могут вести на сайты-двойники.
В целях информационного взаимодействия с банком — эмитентом банковской карты рекомендуется использовать только реквизиты средств связи, которые указаны в документах, полученных непосредственно в банке.
Помните, что в случае раскрытия ПИН, персональных данных, утраты банковской карты существует риск совершения неправомерных действий с денежными средствами на вашем банковском счете со стороны третьих лиц.
В случае если имеются предположения о раскрытии ПИН, персональных данных, позволяющих совершить неправомерные действия с вашим банковским счетом, а также если банковская карта была утрачена, необходимо немедленно обратиться к эмитенту банковской карты и следовать указаниям сотрудника данной кредитной организации.
Рекомендации при совершении операций с банковской картой через сеть Интернет
Не используйте ПИН при заказе товаров и услуг через сеть Интернет, а также по телефону/факсу.
Не сообщайте персональные данные или информацию карте или банковском счёте через Интернет, например ПИН, пароли, срок действия карты, лимиты, история операций.
Рекомендуется для оплаты покупок в сети Интернет использовать отдельную банковскую карту (виртуальную карту) с предельным лимитом.
Следует пользоваться интернет-сайтами только известных и проверенных организаций, проверять правильность написания адреса сайта в строке браузера, т. к. похожие адреса могут использоваться для осуществления неправомерных действий.
Рекомендуется совершать покупки только со своего компьютера. Если покупка совершается с использованием чужого компьютера, не рекомендуется сохранять на нем персональные данные и другую информацию, а после завершения всех операций нужно убедиться, что персональные данные и другая информация не сохранились.
Установите на свой компьютер антивирусное программное обеспечение и регулярно производите его обновление, это может защитить Вас от проникновения вредоносного программного обеспечения.
Также просим вас ознакомиться с порядком проведения онлайн-платежей на сайте
1. Основные понятия
1.1. 3DSecure — технологии, разработанные международной ПС VISA International и MasterCard International, а также ПС МИР для обеспечения безопасного проведения платежей в Интернет. В рамках данной технологии личность Держателя удостоверяется на сервере Банка-эмитента способом, определяемым Банком-эмитентом Карты (обычно — ввод данных login/password).
1.2. CVC2 — Card verification code — это термин ПС MasterCard, трехзначный код для дополнительной проверки корректности указанных реквизитов Карты и повышения безопасности расчетов, напечатан на полосе для подписи и служит для проверки при проведении Операции оплаты без предъявления Карты/ручном вводе.
1.3. CVN2 — Card Validation Number — термин ПС UnionPay. Свойства по аналогии с термином CVC2 MasterCard.
1.4. CVV2 — Card verification value — термин ПС Visa. Свойства по аналогии с термином CVC2 MasterCard.
1.5. MSC — MasterCard SecureCode — стандарт безопасности ПС MasterCard, поддерживающий технологию 3DSecure.
1.6. MirAccept — стандарт безопасности ПС МИР, поддерживающий технологию 3DSecure.
1.7. SSL — Secure Sockets Layer (SSL) — криптографический протокол, обеспечивающий безопасную передачу данных по сети Интернет. При его использовании создается защищенное соединение между Держателем и сервером. Использует шифрование с открытым ключом для подтверждения подлинности передатчика и получателя. Поддерживает надежность передачи данных за счет использования корректирующих кодов и безопасных хэш-функций.
1.8. Transport Layer Security (TLS) — криптографический протокол, обеспечивающий защищенную передачу данных между узлами в сети Интернет (Основан на SSL).
1.9. VbV–Verified by Visa — стандарт безопасности ПС Visa, поддерживающий технологию 3DSecure.
1.10. АПК Банка — аппаратно-программный комплекс банка или платёжной системы, осуществляющий следующие функции: подключение сайта к системе проведения онлайн-платежей; обеспечение интерфейса для запроса параметров карты, необходимых для проведения операции; обеспечение мониторинга на различных этапах проведения операций.
1.11. ППК2 — Проверочный параметр карты — термин ПС МИР. Свойства по аналогии с термином CVC2 MasterCard.
2. Порядок проведения платежей
2.1. Держатель банковской карты (далее — Держатель) через Интернет подключается к сайту, формирует покупку и передает ее на дальнейшую обработку администратору сайта htmlacademy.ru (далее — Администратор).
2.2. Администратор обрабатывает данные для совершения покупки и переадресовывает Держателя на АПК Банка. При этом одновременно на АПК Банка передаются необходимые параметры, необходимые для проведения платёжных операций согласно техническим протоколам банка/платёжной системы.
2.3. Держатель передаёт Администратору информацию о том, что он желает осуществить покупку на сайте.
2.3.1. Администратор формирует счёт на оплату согласно правилам Администратора и имеющихся у него технических возможностей.
2.3.2 Держатель получает ссылку на платежную форму, в которой также содержится информация об оплачиваемом Товаре/Услуге, их стоимости, а также иные параметры оплаты.
2.4. Держатель в зависимости от выбранного способа оплаты передает на АПК Банка:
2.4.1. информацию о параметрах своей Карты: номер Карты, значения CVC2/CVV2/CVN2, дату окончания срока действия карты, имя и фамилия Держателя, как они написаны на карте, что одновременно является подтверждением согласия совершить платеж и прочие параметры, которые может запросить Банк.
2.4.2. Токен, формируемый устройством, с которого совершается оплата.
2.5. АПК банка проверяет корректность формата вводимых параметров карты Держателя и может осуществить дополнительные процедуры аутентификации покупателя, в зависимости от поддерживаемой схемы оплаты MSC или VbV. При оплате с использованием токена АПК Банка проверяет подлинность Токена, включая срок его действия.
2.6. При получении банком отрицательного результата проверок или аутентификации банк через АПК Банка отправляет уведомление об отказе в проведении операции, с указанием причин отказа.
2.7. При успешном прохождении всех процедур проверок запроса установленным нормативам и\или аутентификации, запрос из АПК Банка передается на авторизацию.
2.8. Банк проводит авторизацию в установленном соответствующими международными ПС порядке.
2.9. При получении банком отрицательного результата авторизации банк через АПК Банка отправляет уведомление об отказе, с указанием причин отказа.
2.10. При положительном результате авторизации банк через АПК Банка передает подтверждение положительного результата авторизации.
2.11. После получения подтверждения о положительном результате авторизации Администратор отпускает/оказывает Товар/ Услугу покупателю.
3. Защита информации
3.1. Администратор, провайдер онлайн-платежей вправе хранить информацию о держателях карты исключительно для целей обеспечения совершения операций, но не дольше, чем это необходимо для целей выполнения обязательств по договору.
3.2. Идентификационные номера Карт не хранятся Администратором (кроме случаев временного хранения до получения кода авторизации по соответствующей операции).
3.3. Администратор обязан соблюдать стандарт Payment Card Industry Data Security Standard (PCI DSS) и другие отраслевые стандарты защиты информации для обеспечения сохранности информации о держателях, а также обеспечивать соблюдение их поставщиками, агентами, представителями, подрядчиками и любым иным лицом, которым Администратор может предоставлять доступ к информации о держателях.
Администратор обязан соблюдать следующие стандарты:
3.3.1. Инсталляция и поддержание работоспособности защитных программ (firewalls), настраиваемых для обеспечения защиты информации о Держателях от несанкционированного доступа или использования.
3.3.2. Неиспользование паролей или иных настроек, устанавливаемых по умолчанию.
3.3.3. Защита информации о держателях путем ее хранения с использованием методов тройного программного шифрования данных (или такого иного стандарта, который может быть указан банком) и применением соответствующих мер, призванных обеспечивать безопасное хранение и конфиденциальность информации о держателях, находящейся в распоряжении Администратора или под контролем Администратора.
3.3.4. Шифрование информации о держателях, передаваемой по сети Интернет или иным сетям открытого доступа.
3.3.5. Использование и регулярное обновление антивирусного программного обеспечения или программ.
3.3.6. Разработка и поддержание работоспособности оборудования и систем обеспечения безопасности (например, для защиты от любых предполагаемых угроз или рисков безопасности, или целостности данных).
3.3.7. Ограничение доступа к информации о держателях кругом лиц, которым она необходима исключительно для выполнения их служебных обязанностей.
3.3.8. Присвоение уникального идентификатора каждому лицу, имеющему компьютерный доступ к информации о держателях.
3.3.9. Ограничение физического доступа к информации о держателях.
3.3.10. Регистрация и отслеживание всех случаев доступа к информации о держателях.
3.3.11. Регулярное тестирование безопасности оборудования, систем и процессов сертифицированным специалистом по защите информации.
3.3.12. Проведение политики информационной безопасности в отношении сотрудников и консультантов.
3.3.13. Организация программы повышения осведомленности сотрудников после приема их на работу и в процессе работы.