3.3.3. Безопасность платежей в системе ASSIST
Для защиты информации от несанкционированного доступа на этапе передачи от клиента на сервер системы используется протокол SSL 3.0, сертификат сервера (128 bit) выдан компанией VeriSign, Inc. — центром выдачи цифровых сертификатов.
Отдельного внимания заслуживает система дополнительных мер безопасности, применяемая ASSIST:
защита по номеру карты. Магазин ведет свой "черный список" номеров карт, которым автоматически отказывается в обслуживании. Есть возможность также использовать "черный список" ASSIST и списки других магазинов. Каждый магазин сам выбирает уровень защиты, необходимый ему;
защита по e-mail. Если есть необходимость ограничить авторизации пользователей с определенным e-mail, необходимые адреса заносятся в "черный список". Допускается как указание полного адреса, так и маски (например, "hotmail.com"). В случае указания маски будет запрещена авторизация всем пользователям, имеющим адрес на занесенном в список сервере. Возможно использование "черного списка" ASSIST;
защита по IP-адресу плательщика. Магазину предоставляется возможность сформировать список IP-адресов или масок IP-адресов, с которых запрещена авторизация. Есть возможность воспользоваться списком ASSIST. Пользоваться этим режимом следует с осторожностью, поскольку IP-адрес компьютера может меняться (например, если покупатель пользуется коммутируемым доступом к Интернет);
защита по IP-адресу магазина. С тем, чтобы снизить вероятность несанкционированного подключения к ASSIST от имени магазина, возможно включить этот вид защиты. В случае прихода запросов не с указанного в системе защиты IP-адреса, в их исполнении будет отказано;
защита по HTTP_REFERER. Этот вид защиты аналогичен предыдущему с той разницей, что запрещаются запросы со всех URL, кроме указанного в системе защиты;
защита по частоте авторизации. Наиболее распространенный механизм взлома сайтов на сегодняшний день — это подбор авторизационных параметров. Включая этот механизм защиты, магазин запускает алгоритм эвристического анализа параметров авторизации, отсекающий те запросы, которые выглядят как неблагонадежные. Для того чтобы повторить авторизацию, придется подождать некоторое время. Добросовестному плательщику не составит труда подождать несколько минут. При этом эффективность работы взломщика будет значительно снижена;
защита по повторным авторизациям. Включение этого режима защиты исключает возможность повторной оплаты заказа, что, естественно, снижает и вероятность возврата платежа (charge back);
защита от анонимных proxy-серверов. Этот вид защиты применяется, если необходимо запретить авторизации покупателям, работающим через анонимные proxy-сервера. Анонимные proxy-сервера позволяют скрыть истинный IP-адрес, чем часто пользуются мошенники. ASSIST постоянно обновляет список таких серверов;
максимальная сумма платежа. Есть возможность задать максимальную сумму, на которую будет осуществляться платеж. Платежи, сумма которых превышает заданное значение, не будут проводиться;
максимальное количество транзакций за день. Если это ограничение включено, то после проведения указанного магазином количества платежей, система перестанет принимать платежи до полуночи;
максимальный оборот за день. Этот лимит действует аналогично предыдущему, с той разницей, что учитывается не количество платежей, а их размер;
максимальное количество транзакций по карте за день. Возможно ограничить количество успешных транзакций по карте. После того, как карта была использована несколько раз в течение одного дня, платежи по ней будут блокированы до полуночи;
максимальный оборот по карте за день. Этот лимит действует аналогично предыдущему, с той разницей, что учитывается не количество платежей, а их размер.
Каждый магазин вправе выбрать любую комбинацию приведенных способов защиты в зависимости от круга покупателей и других особенностей своего бизнеса. Задачей магазина является выбор оптимальной настройки, чтобы наряду с мошенниками не отсекать и попытки авторизации добросовестных плательщиков.
В дополнение к уже существующим методам защиты расчетный банк системы Альфа-банк в настоящее время внедрил прием платежей по кредитным картам с использованием технологии SET.