новсти Е1, новосной копипаст

На симбиан устройство не работает.

ну это все хорошо пока у меня карта вашего банка. Вы же услугу продавцу предлагаете а у покупателей карты будут разных банков. От вас кстати все эти тонкости никто не просит раскрывать, они тут совершенно лишние, тем более что они должны быть примерно одинаковы независимо от вида терминала с которого произошла оплата.
Понимаете я бы даже вам поверил если бы за безопасность моей карты как покупателя отвечал ваш банк. Но ведь за нее будет отвечать продавец с айфоном. Не знаю как вы а я вот сомневаюсь что небольшая фирма, где всех сотрудников полтора землекопа, имеет возможности и желание следить за безопасностью своих покупателей. В случае с обычными терминалами эти риски снижаются тем что терминал поставляется готовым как он есть и особо на него софт не поставишь. А тут поставит курьер или таксист на айфон энгрибердс и привет, нет его даже может потом уволят. И хорошо если у покупателя будет лояльный банк он ему все возместит а потом сам будет разбираться и трясти с остальных, в плохом же варианте крайним останется покупатель.
С точки зрения продаж "втычки" все хорошо стильно-модно-молодежно. Если вы мерами про которые так старательно недогвариваете ну и той же росписью на сенсорном экране сможете обезопасить себя (банк, ведь впервую очередь банк все равно думает о себе любимом) и продавца (как своего клиента) ну или по крайней мере объяснить клиенту что сам лох, троянов понахватал, то это конечно для вас хорошо. Тока покупателя в этой цепочке нет, потому как он человек для банка сторонний. Нет первое время все будет хорошо, все будет хорошо даже пока точка будет одна продавать эти "втычки", поле для деятельности будет слишком невелико, а единичными мошенничиствами проще будет пренебречь. Хуже будет когда это все разовьется, а система окажется дырявой.


где никак не указано что оплата прошла безналом;-)

Татьяна, форум называется ?Банковские технологии?. И рассматривается данная тема исключительно с вопроса технологии. Как к ?продукту? никаких вопросов и не было. Не переживайте Вы так, ?конкуренты? данную технологию рассматривали давно и отмели, как неприемлемую именно из соображений безопасности и несоответствия требованиям платежных систем..
А что до секретов банковских ? так зря вы пытаетесь создать завесу таинственности. Никаких особых секретов в технологии нет. Любой, кому тема интересна, зайдет, например, на www.liqpay.com, и посмотрит, как это все работает. В инете также достаточно информации по данным системам.


Вопрос в том, что из стандартного терминала, поставляемого банком и соответствующего требованиям безопасности ПС, торговец ни каким образом данные карты не получит. Использование же вашей ?втычки? позволяет сделать это легко, непринужденно и совершенно незаметно для клиента.
Все остальное ? лукавство.

Повторяю вопрос: как ВАШ фрод-мониторинг поможет (предупредит, предотвратит) в случае, если вирус в устрйостве со втычкой сольет данные карты (карта выпущена не вами, процессируется не у вас) и злоумышленники воспользуются этими данными где-нибудь за границей (или просто в другом банке, не на вашем процессинге)?

ВАШ фрод-мониторинг защищает только карты выпущенные ВАШИМ банком.


Я в курсе :-)
И чисто для информации: сертификация ПРОЦЕССА управления инф. безопасностью это совсем не то же самое, что сертификация ПРОДУКТА на определенный уровень безопасности.


С уточнением: при отсутствии злого умысла :-)

Как Вы понимаете, настроить услугу можно по-разному)



Расскажите в личку, плиз, нам будет интересен возможный способ мошенничества, придуманный Вами))



На это я и намекала)) Специалист может сам посмотреть, как все работает, и разобраться.

Возможно, не совсем поняли друг друга: есть несколько систем безопасности, одна из которых - фрод-мониторинг)



Мы предоставляем сервис, который безопасен: программа сертифицирована, чеки высылаются, все работает в штатном режиме и в соответствии с требованиями платежным систем) Дальше мы отслеживаем то, как именно этот сервис используется его держателями, совершенствуем его, повышаем уровень безопасности.

Придумывать тут нечего.
Я уже много раз сказал, что устройство легко позволяет получить данные магнитной полосы клиента. Как дальше ими воспользуется нечистоплотный торговец - это уже другая тема.

кстати экраны сейчас в основном емкостные у данных устройств, расписываться пальцем? А подпись пальцем и ручкой будет похожа друг на друга? А установить что это один и тот же человек делал можно будет если дело дойдет до серьезных разборок.
чеки на емейл это несерьезно, вы же должны понимать что такие чеки можно пачками слать. Мне вон вообще приходит что я миллионы в зимбабве выиграл и что? Информационный характер не более.


ЭЦП не на токене а на "флешке" тоже сертифицирован и тоже выполняет все требования всех, очень безопасно правда?:-)

Простите, а стационарный терминал не позволяет легко получить данные магнитной полосы, в таком случае?)

Повторюсь в +10500 раз))) Чек может выдаваться товарный, или акт продажи, с подписью и



фразой "Оплатил безналом", можно даже вписать номер чека и расписаться, что номер верен)) После этого, правда, будет еще сложнее сказать, что не расплачивался картой и ничего не покупал, что очень любят делать мошенники((

в нем надо или снаружи скример прилепить или внутри отверткой поковырятся. терминал в данном случае вполне автономная вещь в себе. Вся обработка данных происходит внутри. Здесь же насколько я понимаю во "втычке" происходит только считывание с магнитной полосы, все остальное обрабатывается в айфоне. Думается мне что написать вирус под стационарный терминал, который то перепрограммируется при танцами с бубном несколько сложнее чем под айфон;-)

это есть обязательное требование для пользования втычкой или это на совести продавца? Если на совести продавца, то кто будет крайним если он этого не сделает?
А главное мне что-то кажется что после всех этих плясок с товарными чеками, вписыванием номеров и т.д. проще уже или завести обычный терминал, которые не такие уж и большие в современном мире или не маятся фигней и принимать платежи налом. "Втычка" ведь должна упрощать жизнь, а не усложнять;-)

Т.е Вы пишите о том, что владелец данного терминала может все это легко сделать?)



Вообще, раз здесь ведут разговор исключительно о мошеннических схемах, предлагаю писать в личку придуманные способы - думаю, наши службы будут рады ознакомиться))

для получения данных с магнитной полосы это придется делать. Ну или уносить куда то карту как в ресторанах любят. Для "втычки" владельцу достаточно лишь заразиться нужным вирусом.

Я верю в ваши службы, думаю они до моих схем вполне додумались.:-)

Именно это она и делает) Уже есть первые клиенты, которые просто в восторге))



Чек в электронном виде есть в обязательном порядке)



Вы же только что писали, что и обычный терминал можно "легко" взломать?)) Уже нет?)

[Сообщение изменено пользователем 25.07.2012 13:03]

Вы - точно не поняли. Потому что написали, что "втычка безопасна, т.к. у нас есть фрод-мониторинг". На вопрос каким местом он снимает угрозы от втычки, так ничего и не ответили. Точнее, ответили из серии "рация на танке".


Какая программа? Кем сертифицирована?


Татьяна, не смешите и не надо маркетинговых мантр/заклинаний.
Я проработал в банках 18 лет, занимался как раз инф. безопасностью. И прекрасно знаю, что "отследить, как клиент этим пользуется" - задача нерешаемая. Вы можете выдать 1000 рекомендаций, включить в договор пункт, что клиент "сам дурак" при их невыполнении, но обеспечить и проконтролировать их реальное выполнение - не можете. Вы не предостращаете угрозу, вы просто перекладываете ответственность.
Что он там поставит на устройство, к которому подключается "втычка", ограничено только его фантазией. Равно как своевременная установка патчей безопасности, антивирусов и т.д.
Поэтому в отличие от специализированного терминала (настроенного и опечатанного банком), какое-то произвольное неизвестное "устройство со втычкой" - это резкое повышение угрозы компрометации карт, причем не только ваших, но и других эмитентов.
Вот интересно, с ЭЦП мы уходим от флешек на токены, а здесь поступаем с точностью до наоборот.

читайте внимательно и попытайтесь понять смысл. Я сказал что для скриминга с помощью обычного терминала к нему понадобиться физический доступ, а к "втычке" нет.

дак это до первого тыренья денег все круто, что вы как первый раз то?:-) ЭЦП на флешке я думаю тоже все радовались, поначалу:-)

Это на емейл который ходит нуну:-)

Не позволяет. О том и речь. Это закрытая автономная система, в архитектуре которой разбирается лишь ограниченный круг специалистов.
Именно это дает клиенту повод не переживать предоставляя карту в оплату в торговой точке, оборудованной таким терминалом.
Да, торговец, при наличии злого умысла, как и писал Влад, в состоянии найти нужных "спецов" и сделать это. Но это очень нетривиально, дорого и противозаконно.
В случае с втычкой это легко может сделать абсолютно любой "торговец", совершенно не разбирающийся в этих вопросах. Даже "вирусы" писать не надо - на андроид-маркете найдется пара программ, позволяющие без каких либо навыков получить данные карты в открытом виде.


Это, я так понимаю, мантры...? :-)

Какая интригующая дискуссия между реальными специалистами и "менеджером" :-) Технология целиком Приватбанка и вся работа идёт через ПЦ Приватбанка - подозреваю что в Б24 даже спецы не до конца знают как всё работает и каким образом решение сертифицировалось, а вы что-то от Татьяны пытаетесь добиться :-D

Но тем не менее из-за "цеховых" соображений обязательно поучаствую в дискуссии - есть у меня несколько вопросов про причём здесь 3D-Secure (если это эл.коммерция, то зачем читать полосу вообще) и как всё-таки быть с таксистами (а даже на рекламной коробке с "втычкой" от Б24 прямо написано, что таксисты это одна основных ЦА продукта).

таксисты от остальных чем отличаются? тем что бумажных чеков не выдают? дак вроде ответили уже:



не ну раз уж представитель банка отвечает в форуме, то почему не спрашивать, никто ведь не мешает советоваться со специалистами:-)

Коллеги, вижу, к сожалению, что конструктивной беседы все таки не получается, как бы я не старалась(( Простите, пыталась не касаться этого вопроса, но так общаться уже не представляется возможным.

Судить о том, что реализовал кто-то другой - всегда легко) Особенно, когда кто-то делает продукт, который пока никто в России не предлагает. Наши клиенты умные люди, собственники бизнесов, которые привыкли разбираться в том, что касается их денег. Думаю, если они оценивают продукт положительно, то уж явно не под воздействием, как Вы говорите,





Если Вы считаете, что к клиентам можно так относиться и считать, что они не в состоянии сами выбрать тот продукт, который им интересен, то мне обидно за них((

Мне кажется, обладая таким опытом, как все отписавшиеся коллеги (у кого-то он 18 лет), можно легко изучить все спецификации и придумать БЕЗОПАСНЫЙ вариант. Вот мы придумали, например.

Если есть интерес именно к технологиям, то спецификации открыты) Думаю, с Вашим опытом Вам не составит труда ознакомиться с ними, а не спрашивать у меня, ничего не знающего



))

И, конечно, буду рада ответить на новые(а не перефразированный один и тот же) вопросы) И надеюсь, что когда-нибудь мы будем жить дружно)))

[Сообщение изменено пользователем 25.07.2012 14:50]

Татьяна, не надо менять тему при помощи детских психологических уловок - типа я клиентов обидел :-)
Клиенты отлично выбирают продукты пр критериям "удобно и модно", и они лучше банковских работников-креативщиков знают, что им нужнее/важнее.
Но с безопасностью все совсем по-другому. Это специфичная область знаний и большинство людей в ней ничего не понимает. Даже Вы не видите разницы между специализарованным терминалом и комплектом из программки и ридера-втычки, продолжая отвечать обще-туманными фразами "наш безопасный продукт сертифицирован".
Кстати, Вы так и не ответили, что именно сертифицировано, кем и на соответствие чему.
Надеюсь, это не коммерческая тайна? :-)


Не поверите, изучали. И придумать там вариант, эквивалентный по безопасности специализированому терминалу - невозможно. Данные карты из "втычки" в открытом виде попадают в программную среду телефона, планшета и т.д. которая по определению Вами не контролируется и является не-доверенной.
Это тоже самое, как говорить: "мы придумали, как ключи ЭЦП хранить на флешке вместо токена и это будет так же безопасно".

"Втычка" - это дополнительные риски по сравнению с нормальным терминалом. И выходов ровно два:
1. Принять их (в надежде, что не случится)
2. Застраховать.


Так ознакомились, в курсе, что чудес не бывает. Вот только менеджер утверждает, что чудо есть и оно сертифицировано...

[Сообщение изменено пользователем 25.07.2012 15:09]

Не всегда, когда человек молчит, ему нечего сказать)) Видимо, смысл обсуждения в том, чтобы доказать, что если кто-то, кроме нас, не нашел оптимального решения - значит, это невозможно?))

[Сообщение изменено пользователем 25.07.2012 15:28]

Дак расскажите!
А то вы или отвечаете не на заданный вопрос, или вообще начинаете обижаться и говорить что диалог не конструктивен.