Маскирование ИЛИ усечение номера PAN: в чем разница?
Я, конечно, не получаю пачками вопросы по безопасности платежных карт, однако, время от времени кто-нибудь да и задаст мне такой вопрос, который заслуживает отдельной публикации в блоге. Буквально на днях одна читательница, Мишель, задала мне такой вопрос, который, в целом отражает часто встречающееся непонимание в сфере безопасности платежных карт:
Вчера я перечитывала PCI DSS 2.0, требование 3.4, и была немало удивлена тем, что для защиты хранимых номеров PAN не предлагается такая мера как «маскирование». Правильно ли я понимаю, что эти номера подлежат шифрованию перед помещением их на хранение, а при извлечении, они подлежат расшифрованию и маскированию? И потом, если мы получаем номер PAN уже в маскированном виде, а затем храним его, то попадает ли такое хранение под действие стандарта PCI DSS? С технической точки зрения, как я думаю, не попадает, т.к. PAN уже маскирован при получении, а значит нет возможности найти номер PAN в незашифрованном виде.
Вот в этом как раз и кроется основная суть непонимания сути маскирования. Многие люди либо вообще не знают о существовании усечения и полагают, что если они не могут видеть полный номер карты, то это маскирование, либо считают, что усечение и маскирование — это одно и то же. Несомненно это разные вещи, поэтому я позволю себе процитировать определения маскирования и усечения прямо из Глоссария PCI SSC:
Маскирование (Masking)
Метод сокрытия сегмента данных при отображении или печати. Маскирование используется, когда нет служебной необходимости в просмотре всего номера PAN.
Усечение (truncation)
Метод приведения номера PAN к нечитаемому виду посредством удаления сегмента данных PAN.
Представьте себе данные о держателе карты (далее – ДДК) в виде цифр на листке бумаги. При маскировании мы словно берем коррекционную ленту и наносим ее на большую часть цифр таким образом, чтобы человеку, которому передается этот листок, было видно только последние 4 цифры. Очевидно, что при этой операции данные по прежнему существуют под коррекционной лентой, хотя она их и скрывает. Разумеется, с этого листка бумаги, приложив некоторые усилия, можно счистить коррекционную ленту, а значит этот лист бумаги по прежнему нуждается в защите, при которой никакие злоумышленники не могли бы восстановить и использовать данные о держателе карты.
В свою очередь, если бы мы хотели выполнить усечение на этом листке бумаги, то мы бы либо вообще изначально не писали эти цифры, либо стерли их настолько надежно, что их никогда нельзя было бы воссоздать. Такие данные никогда не были бы написаны на листе бумаги, а значит никак не могли бы быть использованы для мошенничества с платежными картами. В таком сценарии, этот лист бумаги не имеет никакой ценности для злоумышленника, а значит нет необходимости его защищать, по крайней мере в той же степени, в которой следует защищать маскированные данные. Конечно, к этим усеченным данным могут быть привязаны какие-то дополнительные данные или значения, но сами по себе усеченные данные ценности не имеют.
Если на экране отображаются данные, из которых видна только малая часть, то нельзя знать наверняка, какие именно представлены данные — усеченные или маскированные. Для того, чтобы это узнать, необходимо глубже понимать процессы их обработки. Только понимая процессы, можно сказать, можно ли каким-либо воссоздать эти данные или же в базе данных хранятся те же данные, которые видны на экране. Находясь в обычном магазине, можно увидеть на чеках последние 4 цифры номера карты. Если платежное приложение написано корректно, то должность персонала – будь то руководитель торгового зала или продавец — не должна иметь значения: в любом случае никто не должен видеть ничего кроме последних 4 цифр номера. Дело в том, что в таком приложении данные не сохраняются, а значит ни у кого из сотрудников магазина нет возможности извлечь данные из системы — данные усечены и их в системе больше нет.
Совсем иная ситуация в бэк-офисе, в бухгалтерии и в службе, отвечающей за предотвращение ущерба. По умолчанию, сотрудники этих отделов и служб должны видеть только 4 последних цифры номера платежной карты. Однако при возникновении претензионных платежей или подозрений на вероятное мошенничество, сотрудники компании в рамках расследования должны иметь возможность отменить маскирование полного номера карты. Эти номера по-прежнему существуют на сервере, однако, они там в основном хранятся в маскированном (скрытом) виде, и отображаются только должным образом уполномоченному персоналу. Поскольку имеется возможность извлечения этих данных на серверах, они полностью входят в область оценки на соответствие стандарту PCI DSS и подлежат соответствующей защите.
Таким образом, отвечая на вопрос читательницы, я скажу, что хранимые данные не могут быть «маскированы». Они маскируются только при извлечении и считаются маскированными, если отображены частично. Именно поэтому, в требовании 3.4 отсутствует маскирование. Если же ТСП получает ДДК, в которых имеется только сегмент номера PAN (например, сегмент из первых 6 или последних 4 цифр), то такие данные являются усеченными. В таком случае полный номер PAN отсутствует, воссоздание его невозможно, а значит нет необходимости его защищать так же, как и ДДК. Я не говорю, конечно, о том, что данные, привязанные к этому номеру не имеют ценности и не подлежат защите, просто усеченные данные не входят в область применения требований стандарта.
Если же ТСП получает полный номер PAN, но сотрудникам он отображается в маскированном виде, то, даже если никто в ТСП не имеет доступа к ДДК, оно все равно отвечает за их защиту согласно требованиям стандарта. Если в этих данных нет необходимости, есть смысл просить о предоставлении усеченных данных, тем самым, сэкономив кучу сил и нервов на общении с аудиторами, выполнении требований стандарта, да и вообще на процессе приведения среды в соответствие со стандартом PCI DSS. Например, я приятный в общении человек, но даже самые большие мои поклонники среди клиентов подтвердят, что я становлюсь противным и невыносимым, как минимум, раз в год, когда прихожу к ним для проведения аудита.
Что такое маска карты?
Что такое маска банковской карты?
Маска отвечает, чтобы поля не слипались в одну кучу и разделяет группы пробелами. Такой номер карты просто диктовать и переписывать. 5536 3014 9073 0718 — по фэншую. Если поле заполнено нужным количеством символов, маска может переключать поле на следующее.
Как узнать номер своей банковской карты?
Как узнать номер кредитной карты
Номер кредитной карты всегда указывается на ее лицевой стороне. По этому номеру карта определяется внутри платежной системы. Номер состоит из 16 цифр, разбитых на четыре блока. Он нужен для проведения всех операций с карточкой.
Можно ли сообщать номер своей банковской карты?
Сообщать можно только номер карты и только проверенным людям. Имя, фамилию, срок действия и код безопасности сообщать нельзя. Смс-код нельзя сообщать никому и никогда.
Что такое идентификационный номер банковской карты?
Номер банковской карты — не случайный набор цифр, а специальный код с защитой от ошибочного ввода. Рассказываем, как это работает. Первая цифра номера — идентификатор платежной системы. … Все вместе первые 6 цифр — это БИН, или банковский идентификационный номер.
Можно ли говорить последние 4 цифры карты?
Сообщать можно только номер карты и только проверенным людям. Имя, фамилию, срок действия и код безопасности сообщать нельзя. Смс-код нельзя сообщать никому и никогда. Оставили карту без присмотра — перевыпускайте.
Что означают цифры внизу банковской карты?
Первая цифра на лицевой стороне карты обозначает принадлежность к определенной системе платежей. Оставшиеся цифры — это генерированный номер банковской организации, которая выдает карту. Первые 6 цифр на карте часто называют банковским идентификатором.
Что такое номер платежной карты?
Номер банковской карты – это индивидуальный номер, который присваивается конкретной карте конкретного клиента конкретной платёжной системой в конкретном банке.
Как по номеру телефона узнать номер карты?
Узнать номер карты по телефону
Совершив звонок на бесплатный номер 8-800-555-5550, человек, пройдя стандартную процедуру идентификации клиента, может узнать у оператора данные по своей пластиковой карте, состояние счёта и другую необходимую информацию. Этот вариант удобен, когда под рукой лишь телефон.
Как узнать номер карты Сбербанка через 900?
Можно ли вводить данные карты на сайтах?
Какие данные нужно вводить при оплате картой в интернете? Банки и платежные системы требуют вводить при оплате картой имя и фамилию владельца, номер карты, код проверки подлинности карты (трехзначный код на оборотной стороне) и срок ее действия. … Если все эти данные попадают в руки хакеров — это проблема.
Можно ли вводить данные карты на алиэкспресс?
Данные карты на Алиэкспресс вводятся исключительно при оплате и больше ни в одном другом случае. Если продавец или кто-то другой просит прислать информацию о карте, то ни в коем случае ее не сообщайте. … Для покупок на Алиэкспресс сделайте отдельную карту и пополняйте ее при необходимости.
Можно ли сообщать Бик карты?
Реквизиты, которые можно сообщать
Номер счета своей банковской карты. У каждой карты есть счет, к которому она привязана. Он начинается с цифр 40817 и состоит из 20-ти цифр. … Зная данные цифры никакие действия с картой произвести нельзя.
Что такое идентификационный номер?
Ваш присвоенный государством идентификационный номер (государственный идентификационный номер, персональный код или ID-код) – это уникальный номер, состоящий из 11 цифр, который присваивается государством и используется в целях идентификации во всех странах Балтии.
Как узнать к какому банку принадлежит номер карты?
Число, служащее для определения банка, называется БИН — банковский идентификационный номер, или Bank Identification Number (BIN). BIN платежной карты определяется по первым 6 цифрам ее номера.
Как понять имя карты?
Имя держателя карты указано (или эмбоссировано, то есть выдавлено) на карте латинскими буквами. Карты бывают как именными, так и неименными (в таком случае имя держателя на карте не указывается). Встроенный микропроцессор, который содержит информацию о карте и ее держателе.
Обновление мобильного приложения ВТБ: маски все еще помеха
С учетом огромного объема работы, программисты ВТБ неплохо справляются с приведением главного приложения банка в современный, человеческий вид. Осталось только что-то сделать со стабильностью.
Статус госбанка (банка с большим государственным участием) в России — палка о двух концах. С одной стороны, такая организация априори считается более надежным местом для размещения денег в тревожные времена. С другой — к 2021 году россияне уже массово требуют от банков для физлиц быть современной IT-организацией, которая в первую очередь предоставляет комфортный, надежный и беспрепятственный доступ к услугам в смартфоне, а уже потом — все остальное: здесь реноме госбанка как большой консервативной организации, скорее, идет в минус.
Именно по этому пункту ВТБ, второй крупнейший банк в стране, долгое время ходил в отстающих — слишком у многих «физиков» слова «Телебанк» и «Мастер-счет» вызывали нервный тик мимических мышц, а отказы доступа даже в уже глубоко компьютеризированных 2010-х стали притчей во языцех. Особенно эти «особенности» «радовали» клиентов множества банков, которые ВТБ успел поглотить за период активных слияний на рынке.
Новая IT-команда банка вот уже почти два года пытается исправить ситуацию и на прошлой неделе выпустила второе крупное обновление основного приложения, за номером 16. Банк подчеркивает, что отличий в версиях для разных платформ (iOS, Android, интернет-версия) нет, все новые функции и изменения всегда «выкатываются» одновременно. Скачаем довольно увесистое приложение (более 500 Мбайт) и посмотрим, что получилось.
Функции
Описывать главный экран приложения, где находится информация о счетах, теперь бессмысленно — разработчики сделали его в виде «оски» с виджетами, которую можно настраивать по собственному разумению. Очень полезное нововведение, которое не помешало бы скопировать всем для расчистки главной от мусора в виде «специальных предложений» и «полезных историй».
И все же мода на маркетплейсы и жгучая необходимость предложить клиентам банка еще 150 очень полезных и нужных партнерских услуг не обошла стороной и ВТБ — есть прокаты велосипедов, ремонты квартир и билеты на матчи «Динамо». Для автолюбителей тоже сделали раздел, куда сложили партнерские предложения по ОСАГО и каско, а также сервис автомобилей по подписке. Кроме того, клиентам будут давать персонализированные советы на основе алгоритмов машинного обучения — таким образом, через некоторое время после начала использования новой версии можно ожидать рекомендаций по ставкам вкладов или оформлению налоговых вычетов.
Еще с прошлой версии разработчики занялись ЖКХ-счетами и наконец довели покрытие до федерального — в новой версии приложение знает коммунальные конторы во всех регионах страны и умеет подписываться на автоматическое получение счетов от них. Поскольку с лета банк не берет за такие платежи комиссию (и специально напоминает об этом в интерфейсе приложения), этот момент можно записать в значимые плюсы.
Беспроводные фокусы
Разработчики плотно поработали с доступом к Bluetooth. Во-первых, сделали функцию «Радар» — можно обнаружить поблизости других клиентов ВТБ с новой версией приложения и перевести им денег без ввода реквизитов или номера телефона. Это будет не только полезно в некоторых сценариях (например, сбор денег на работе, где у всех зарплатный проект ВТБ), но также позволяет надеяться, что функцию скопируют другие банки.
Во-вторых, присоединяемые по Bluetooth устройства (такие, как Apple Watch или браслеты Fitbit) теперь можно использовать как аппаратные ключи доступа к основному приложению в телефоне — примерно как бухгалтеры используют специальные USB-ключи для работы с 1С. Разработчики объясняют внедрение функции желанием сделать удобно для тех, кто едет в транспорте в маске и не может использовать стандартную идентификацию по лицу.
Для активации нужно в настройках приложения выбрать активное Bluetooth-устройство, которое и будет ключом. Работа функции отличается от, например, разблокирования iPhone с помощью Apple Watch — тут при настройке требуется задать приблизительное расстояние, на котором часы обычно находятся от телефона. Сторонние приложения на iOS и Android имеют доступ к показателю силы сигнала Bluetooth, поэтому могут примерно оценить расстояние до аксессуара. В ходе тестирования функция работала крайне нестабильно — например, выдала сообщение «устройство распознано, выполняется вход», когда часы лежали на зарядном устройстве в заблокированном состоянии, а в целом чаще всего просто не впускала в приложение, выбрасывая на экран блокировки. Думается, пассажирам в масках лучше на всякий случай еще какое-то время помучиться.
Но в сфере безопасности есть и хорошие новости. Наконец ВТБ признал необходимость функции временной блокировки карт — на случай, если клиент просто забыл, куда положил кошелек, и запаниковал. Кроме того, ввели функцию ковровой блокировки всех продуктов ВТБ сразу (всех счетов, копилок, инвестиций), если есть подозрение, например, на угон мобильного номера — тогда разблокировать обратно можно будет либо по звонку, либо при личном визите в отделение.
Стабильность
Можно было бы обсудить еще дюжину более мелких нововведений, но наблюдения за приложением в течение недели показали, что главная проблема надежности доступа к сервисам банка полностью не решена. На презентации представители ВТБ пояснили, что сейчас надежность доступа превышает 98%, и пообещали к следующему году довести ее до 99%. Увы, за несколько дней до публикации обзора в банке произошел массированный сбой, отрубивший доступ к приложению почти на час.
Если посмотреть заголовки новостей по соответствующим ключевым словам, можно увидеть, что такие неприятности случаются до двух раз в месяц и длятся достаточно заметные промежутки времени. Это будет неприемлемо для тех, кто работает с банком преимущественно на ходу через мобильное приложение и не имеет возможности ждать, например для микрокоммерции, которой в новой версии разрешили принимать платежи с помощью QR-кодов.
Впрочем, если вы рассматриваете ВТБ как второй, «запасной» банк, завести и опробовать новое приложение достаточно легко — открыв новую учетную запись и привязав ее к «Госуслугам», можно без похода в отделение получить счет с ограничением баланса до 60 тыс. рублей и цифровой картой Visa, которую тут же можно добавить в Apple Wallet или Google Pay.
Антон НЕХАЕНКО, Banki.ru
По данным Банки.ру, на 1 ноября 2021 года нетто-активы банка — 19 263,22 млрд рублей (2-е место в России), капитал (рассчитанный в соответствии с требованиями ЦБ РФ) — 1 844,84 млрд, кредитный портфель — 11 829,57 млрд, обязательства перед населением — 4 723,23 млрд.
Какие данные банковской карты можно, а какие нельзя сообщать сторонним лицам?
Почем важно знать, какие данные хранить в тайне?
Банковская карта — быстрый и удобный способ хранения средств и оплаты счетов. На ней находятся ваши денежные средства, необходимые для существования: зарплата, пенсия, накопления. Каждая карта имеет уникальный набор реквизитов: номер, дату окончания и т.д. Эти данные нужно хранить в тайне и желательно не сообщать посторонним лицам.
Ответственность за сохранность данных карты несет держатель карты. Если вы сообщите реквизиты карты третьим лицам, то можете лишиться ваших денежных средств на карте, стать жертвой мошенника, а в определенных случаях и фигурантом уголовного дела.
Пройти тест: Правила безопасности держателя банковской карты
Поэтому рекомендуем со всей серьезность относиться к защите своих карт и в случае их компроментации реквизитов немедленно блокировать пластик и перевыпускать. Это поможет сохранить ваши деньги в сохранности.
Что такое реквизиты банковской карты?
Реквизиты банковской карты — это данные, указанные на пластике (номер, фамилия и имя владельца, срок действия и т.д.) Рассмотрим реквизиты на банковской карте более подробно на примере. На картинке каждый реквизит имеет собственный номерной знак.
Цифра 0 — ПИН-код к банковской карте, который указывается в запечатанном конверте или придумывается клиентом.
Цифра 1 — наименование банка-эмитента карты. Указывается банк, выпустивший карты и обслуживающий ее.
Цифра 2 — Защитный чип.
Цифра 3 — Номер карты, который обычно состоит из 16-ти цифр. Некоторые номера состоят из 18-ти цифр. В этих цифрах заложена определенная информация (наименование платежной системы, типа карты и т.п.)
Цифра 4 — Окончание срока действия карты. Здесь указывается месяц и год, когда у карточки закончится срок действия.
Цифра 5 — Имя и фамилия владельца карты латинскими буквами.
Цифра 6 — CVC/CVV2 код. Он находится на оборотной стороне карты и состоит из 3 или 4 цифр.
Реквизиты, которые можно сообщать
Что делать, если просят 3х значный номер на обратной стороне?
Трехзначный номер на обратной стороне банковской карты называется CVC/CVV2 код. Он служит подтверждением того, что данная карта находится у вас в руках. Зная номер карты и данный код можно провести оплату вашей картой в любом месте.
Читайте также: Можно ли отдать свою карту другому человеку?
Практически все интернет-магазины требуют данный код для оплаты. При оплате онлайн сообщать данный код можно. Без ввода этого кода оплата не пройдет и платеж за нужный вам товар или услугу вы не осуществите. Желательно вводить этот код на проверенном сайте во избежание мошенничества.
А вот сообщать этот номер человеку, по телефону или при помощи электронной почты не следует. Велика вероятность лишиться денег на карте.
Реквизиты, которые нельзя сообщать
Что можно сделать, зная реквизиты банковской карты?
Согласно отчету Центробанка год свыше 65% мошеннических операций с банковскими картами совершаются при наличии у злоумышленников реквизитов пластика. Это самый распространенный способ, как можно украсть деньги с карточки любого человека.
Зная реквизиты карты, злоумышленники могут списать с нее деньги абсолютно разными способами.
Зная реквизиты вашей банковской карты, злоумышленник может расплатиться ей за покупки в интернет-магазине, совершить перевод с карты на карту и т.п.
Есть более изощренные варианты, как завладеть чужими деньгами, зная данные карты, поэтому владельцу пластика важно хранить эту информацию в секрете.
Когда сообщать даже номер карты небезопасно?
Номер карты можно сообщать друзьям и близким для перевода. Однако нужно быть очень аккуратным, если что то продаете и покупаете на Авито. Сейчас на этой доске объявлений действует множество мошенников.
Одним из способов обмана является мошенничество с переводами на карту. Допустим вы продаете товар за 20 тыс. Вам пишет покупатель и вы договариваетесь о сделке. Вы даете свой номер карты и деньги приходят, но вместо 20 тыс. приходит 40 тыс. С вами связывается покупатель и пишет, что перевод задвоился и нужно вернуть 20 тыс. на карту с данным номером. Вы возвращаете деньги. Потом внезапно обнаруживаете, что вашу карту заблокировали.
Читайте также: 6 советов, как защититься от утраты денег
Далее вы становитесь участником расследования полиции. На самом деле мошенник параллельно продавал еще товар, например iPhone последней модели за 40 тыс. и нашел покупателя. Тот перевел деньги уже на вашу карту, но естественно товар не получил. Он обратился в полицию, завели дело и вашу карту заблокировали.
Итого вам нужно будет вернуть 40 тыс. обманутому покупателю и 20 тыс. вы отдали мошеннику и 20 тыс. осталось на вашей карте. Итого минус 40 тыс.
Как видите, не всегда можно сообщать номер карты даже посторонним людям. Нужно быть внимательным и правильно взвешивать риски.
Как обезопасить реквизиты своей карты?
Есть несколько способов, как обезопасить данные своей банковской карты. Во-первых, владелец пластика должен заменить свою карту на пластик с моментальной оплатой в одно касание. Для такого платежа не нужно доставать карту из кошелька, светить ее перед очередью, вводить ПИН-код. Достаточно поднести кошелек к считывающему устройству и деньги спишутся без особых проблем.
Читайте также: Что делать, если потерял карту?
Никто в очереди не сможет разглядеть реквизиты вашей банковской карты или запомнить пин-код. Конечно, здесь тоже есть свои риски. Например, если клиент потеряет кошелек, то банковской картой смогут воспользоваться другие люди, ведь вводить ПИН-код для оплаты не нужно.
Во-вторых, можно заменить карту на пластик с возможностью оплаты через Apple Pay, Samsung Play, Google Play. Благодаря этому варианту можно оплачивать покупки и услуги, приложив свой мобильный телефон к считывающему устройству. Клиенту даже не нужно носить с собой карту или кошелек. Достаточно скачать специальное приложение, зарегистрировать там все свои карты и оплачивать с него.
Этот способ кажется гораздо более надежным и безопасным, чем предыдущий. Да, здесь тоже есть риск потерять телефон, но современные гаджеты надежно защищены паролями, отпечатками пальцев или сканированием сетчатки глаза.
В-третьих, нужно внимательно проверять сайт при оплате в интернете. Сегодня очень распространены фишинговые сайты, которые собирают информацию о банковских карточках, списывают все деньги под 0. Фишинговый сайт — это абсолютная копия (подделка) какого-то популярного сайта, интернет-магазина или даже интернет-банка. Перед тем как вводить реквизиты своей банковской карты на сайте, всегда перепроверяйте его адрес на соответствие действительности.
В-четвертых, не сообщайте реквизиты своей банковской карты даже близким родственникам, старайтесь принимать переводы не по реквизитам карты, а по номеру телефона. Они доступны для клиентов Сбербанка, Тинькофф и других банков.
В-пятых, для интернет-покупок заведите виртуальную банковскую карту. Ее можно оформить за считанные минуты в интернет-банке любого банка. Это абсолютно бесплатно. На виртуальную карту можно переводить деньги со своего основного пластика без комиссии и за считанные секунды.
После пополнения виртуальной картой можно оплачивать покупки и услуги в любых интернет-магазинах без ограничений. Это самый безопасный способ покупок в интернете и сохранения реквизитов основного пластика.
В-шестых, если вы все-таки не открыли виртуальную карту для покупок в интернете, всегда следите, чтобы интернет-магазин был настоящим, имел какие-то отзывы в интернете. Вместе с фишинговыми сайтами в интернете много сайтов-однодневок, которые создаются под видом интернет-магазина и собирают данные банковских карт.
Популярные вопросы по безопасности
Данные получателя при переводе на карту в принципе не нужны, т.е. вы не обязаны их указывать. Однако, некоторые банки обычно указывают самого отправителя. Если вы, например, переводите деньги из онлайн банка Сбербанка или Райффайзен, то получателю в комментарии к платежу будет видно, кто перевел деньги.
Да, карту лучше заблокировать и поменять. Суперприз Лайк похоже на какое-то мошенничество. Просто заманивают обычных людей и просят их палить данные карты. А потом снимают денежки. Не стоит доверять розыгрышам в Интернет, где просят указать данные банковской карты. Риск обмана велик.
