Для банкоматов существуют рекомендации международных организаций, например Рекомендации по антискимминговым решениям для банкоматов для региона SEPA (Approved by Plenary — 17 December 2008).
1. Минимальные требования для антискимминговых решений с независимым тестированием.
Все поставщики банкоматов и многие их продавцы в состоянии обеспечить антискимминговые решения. Европейская группа безопасности банкоматов (European ATM Security Team — EAST) определила и поддерживает базу данных антискимминговых решений и их функциональных возможностей. Некоторые решения более эффективны, чем другие, однако в настоящее время нет никакого свидетельства или независимой оценки этих решений. Это делает выбор решения трудным, также преступники успешно обошли многие антискимминговые меры. Поэтому Рабочая группа по картам Cards Working Group рекомендует определить минимальные требования для антискиммингового решения и предоставить их для независимого анализа, тестирования и оценки.
Антискимминговое решение может использовать различные подходы, которые должны включать некоторые из ниженазванных:
• Устройство ввода карты в считыватель должно предотвратить крепление скимминговых устройств и (или) сделать такие устройства заметными.
• Необходимо обнаруживать, создавать помехи или нарушать работу скимминговых устройств, когда они присоединены к банкомату.
Везде, где возможно, эти решения должны быть в состоянии обнаружить скимминговые атаки и любое вмешательство
в устройство должно привести к закрытию банкомата или к генерации тревожного сообщения.
Кроме того, рекомендуется, чтобы система контроля банкоматов была в состоянии удаленно обнаружить, находятся ли электронные антискимминговые устройства в рабочем состоянии.
2. Операторы банкоматов должны также рассмотреть дополнительные меры, которые можно использоваться в зависимости от конкретных обстоятельств и экономических обоснований:
• Защитные экраны, чтобы скрыть руку клиента.
• Демонстрация на банкомате предупреждения, просящего клиентов «закрывать и заслонять свой ПИН».
• Демонстрация на банкомате предупреждения о скимминговых устройствах и телефон поддержки клиентов, чтобы сообщить об инцидентах.
• Общие рекомендации относительно безопасного использования банкоматов, которые будут изданы для повышения уровня образования клиентов.
• Предусмотреть неиспользование платежных (ATM) карт в системах контроля доступа, например, для прохода к банкомату.
• Регулярный визуальный осмотр банкоматов обслуживающим персоналом, обученным на предмет поиска скимминговых устройств.
• Использование экранов банкоматов для демонстрации того как должны выглядеть банкомат и считыватель карты.
• Контроль доступа при обслуживании банкоматов с отслеживанием людей, осуществлявших доступ к банкомату.
3. В случае установки нового банкомата в помещении с высоким риском и (или) при межстенном расположении антискимминговое устройство должно быть установлено как стандартная опция поставщиком банкомата или третьим лицом (сервисной службой).
Необходимо провести градацию мест установки банкоматов по категориям риска. Например, к зонам повышенного риска можно отнести межстенные банкоматы, банкоматы вне зоны наблюдения, с 24-часовым доступом. Категории риска места установки банкомата должны периодически пересматриваться.
4. Если банкомат подвергся нападению, антискимминговое устройство должно быть модернизировано.
Так как не все банкоматы или места их расположения одинаково уязвимы, то необходимо дополнительно рассмотреть рекомендации пункта 2 для банкоматов, которые подверглись нападению.
5. Операторы банкоматов, эмитенты и производители карт должны совершенствовать системы и процедуры определения скимминговых атак и мошеннических операций. Необходимо развивать сотрудничество и обмен информацией, чтобы свести потери к минимуму.
PCI Security Standards Council в январе 2013 г. выпустил документ Information Supplement: ATM Security Guidelines, который носит рекомендательный характер. В данном документе говорится, что нужен глобальный стандарт по безопасности банкоматов, регламентирующие документы PCI PTS POI Security Requirements и PCI PIN Security Requirements являются превосходными отправными точками для необходимого стандарта. При этом указывается, что они применяются только для ПОС-терминалов и возможность их применения для ATM только рассматривается PCI SCC. Во-первых, непонятно, что подразумевается под SCC. Возможно, это опечатка и имелся в виду SSC — Security Standards Council? Во-вторых, получается, что регламентирующих документов в отношении безопасности банкоматов со стороны PCI SSC нет, в том числе не подлежат обязательному исполнению PCI PTS и PCI PIN. Хотя в данных документах имеются прямые указания на требования в том числе и к банкоматам. Например, PCI PIN просто начинается с упоминания о банкоматах — в этом документе содержится полный комплект требований по безопасному управлению, обработке и передаче данных персонального идентификационного номера (ПИН) в процессе транзакции платежной карты в режимах онлайн и офлайн в банкоматах и терминалах для производства платежей в месте совершения покупки (ПОС-терминалах). В PCI PTS также говорится, что он распространяется на банкоматы, например ПИН-клавиатура банкомата должна быть сертифицирована по данному документу. Недостаточная проработанность данного документа (ATM Security Guidelines) проявляется в пункте 3.2, в котором говорится, что похищенная на банкоматах информация ПИН и трек (account data) применяются криминалом для изготовления поддельных карт и используется по всему миру, включая снятия в банкоматах, покупки в ПОС с ПИН, а также покупки без ПИН в операциях без присутствия карты. Такое утверждение свидетельствует о полном непонимании технологии мошенничества. Если у злодея есть трек и ПИН, зачем ему нужно в торговом ПОС-терминале осуществлять покупку (с использованием ПИН-кода), вместо того чтобы просто снять наличные в банкомате? Если есть только трек, но ПИН-кода нет, то изготавливают поддельную карту и используют в торговом ПОС-терминале, а не в card-not-present, так как нет CW2/CVC2 и 3D Secure.
Положение ЦБР от 24.04.2008 № 318-П «О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монет Банка России в кредитных организациях на территории Российской Федерации» указывает, что в качестве средств безопасности кредитные организации могут применять специальные кассеты для банкоматов, которые в случае несанкционированного их вскрытия окрашивают купюры специальной краской.
