Раздел II. Сведения об инфраструктуре, в которой были совершены несанкционированные операции с использованием платежных карт.
Порядок составления и представления отчетности по форме 0409258:
Сведения о несанкционированных операциях, совершенных с использованием платежных карт:
1. Отчетность по форме 0409258 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт» (далее — Отчет) составляется в целях получения сведений о количестве и сумме несанкционированных операций, совершенных с использованием платежных карт, и инфраструктуре, используемой при их совершении.
2. Отчет составляется в целом по кредитной организации (включая небанковские кредитные организации) (за исключением небанковских кредитных организаций, осуществляющих депозитно-кредитные операции) и представляется в территориальное учреждение Банка России:
кредитными организациями (включая небанковские кредитные организации) (за исключением небанковских кредитных организаций, имеющих право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций) — не позднее 10-го рабочего дня месяца, следующего за отчетным.
Представляется, что требование направления отчета не позднее 10-го рабочего дня месяца, следующего за отчетным, повлечет неполноту данных. Тем более это будет касаться операций с использованием платежных карт, эмитированных за пределами территории Российской Федерации. То есть эквайринговых операций, так как эквайрер узнает о таких операциях, как правило, от эмитента, через платежную систему и гораздо позднее.
Общие рекомендации по обеспечению банкоматов даны в приложении к письму Банка России от 01.03.2013 № 34-Т «О рекомендациях по повышению уровня безопасности при использовании банкоматов и платежных терминалов»:
Кредитным организациям, в том числе при привлечении специализированных организаций, рекомендуется:
классифицировать места установки устройств по степени риска подвергнуться попыткам физического взлома, установки скиммингового оборудования и (или) воздействия вредоносного кода, а также совершения несанкционированных операций (далее — атаки);
пересматривать классификацию мест установки устройств по мере развития технологий, в том числе технологий атак;
оснащать устройства защитным оборудованием и специальным программным обеспечением, при этом их тип, комплектацию и функциональные возможности рекомендуется выбирать с учетом классификации места установки (предполагаемой установки) устройства;
осуществлять на регулярной основе, в зависимости от классификации места установки устройства, контроль внешнего вида устройства, включая его целостности и отсутствия несанкционированного оборудования, а также действий обслуживающих данное устройство организаций;
использовать системы удаленного мониторинга состояния устройства, обеспечивающие контроль надлежащего функционирования защитного оборудования и специального программного обеспечения;
оборудовать устройства системами видеонаблюдения (минимум двумя видеокамерами) со сроком хранения записей видеосъемки не менее 60 календарных дней. Требования к типу и качеству систем видеонаблюдения, хранению информации, а также местам их установки (внутри или вне устройства) должны обеспечивать получение видеоизображения надлежащего качества;
обеспечить обнаружение, фиксацию фактов атак и попыток их совершения и информирование о них заинтересованных участников рынка розничных платежных услуг, а также Банка России;
проводить анализ и устранять выявленные уязвимости в случаях, когда используемое устройство подверглось атакам или попыткам их совершения;
совершенствовать применяемые решения и процедуры, направленные на обнаружение, фиксацию, идентификацию и предотвращение атак или попыток их совершения;
осуществлять сотрудничество с иными кредитными организациями, а также осуществлять на регулярной основе обмен информацией в целях развития и совершенствования безопасности устройств;
размещать на экране устройства либо в пределах прямой видимости от него предупреждающие сообщения о необходимости соблюдения мер предосторожности при наборе персонального идентификационного номера при использовании устройства;
устанавливать устройства в безопасных местах (например, в государственных учреждениях, своих подразделениях, крупных торговых комплексах, гостиницах, аэропортах и тому подобное) с учетом настоящих Рекомендаций;
осуществлять крепление устройства к стене или к полу в помещениях и к фундаменту вне помещений, если это допускает его конструкция;
устанавливать устройства с антивандальным исполнением корпуса и панелей;
предусматривать при установке устройства возможность его безопасного использования маломобильными группами населения, людьми, с ограниченными возможностями здоровья;
страховать устройства и (или) наличные денежные средства, находящиеся внутри данных устройств.
Относительно физической безопасности банкоматов интерес представляет Письмо Отделения № 1 Московского Главного Территориального Управления ЦБ РФ от 10.08.2011 № 51-52-7/21227 «О направлении информации ГУ МВД России по г. Москве»:
Управление уголовного розыска ГУ МВД России по г. Москве предлагает:
1. Закреплять банкоматы с помощью анкерного крепления.
2. Оборудовать банкоматы фронтальным видеорегистратором со звукофиксацией.
3. Устанавливать в банкоматах GPS-трекер, с помощью которого можно определить местонахождение похищенного банкомата.
4. Использовать химловушки.
5. Усилить ригель замков хранилищ банкоматов.
6. Осуществлять постановку банкоматов на пультовую охрану УВО ГУ МВД России по г. Москве.
В последнее время органы МВД РФ проявляют большой интерес к обеспечению физической безопасности банкоматов. Учитывая парк банкоматов (на 1 июля 2013 г. — 137 865), постановка их на пультовую охрану вневедомственной охраны представляет большой финансовый рынок. В связи с этим МВД разработаны различные документы. В качестве примера в сети Интернет можно найти «Инструкцию по организации комплексной безопасности банкоматов кредитно-финансовых учреждений Краснодарского края (разработана для частных охранных организаций и мониторинговых компаний, осуществляющих охрану банкоматов)», которая является Приложением к Распоряжению ГУ МВД России по Краснодарскому краю от 20.12.2012 № 351.