Какие новые стандарты безопасности разрабатываются Visa и MasterCard? (Будущие технологии, такие как SRC — Secure Remote Commerce)

[Student]

Новые стандарты безопасности Visa и Mastercard в контексте борьбы с кардингом​

Кардинг — это вид мошенничества, при котором злоумышленники используют украденные данные банковских карт для несанкционированных транзакций, чаще всего в онлайн-среде. Visa и Mastercard, как лидеры платежной индустрии, активно разрабатывают и внедряют стандарты безопасности, чтобы минимизировать риски кардинга. Эти стандарты включают новые технологии, такие как Secure Remote Commerce (SRC), токенизацию, биометрическую аутентификацию, искусственный интеллект (ИИ) и обновленные протоколы, такие как PCI DSS 4.0.1 и 3D Secure. В этом ответе я подробно разберу, как эти инициативы противостоят кардингу, с акцентом на образовательный контекст, чтобы показать, как они работают на практике и почему они эффективны.

Что такое кардинг и почему он остается проблемой?​

Кардинг (от англ. "carding") — это использование украденных данных карты (номер, CVV, имя, срок действия) для покупок, снятия денег или других операций. Основные методы кардеров:

• Фишинг и скимминг: Получение данных через поддельные сайты, вредоносные скрипты или устройства на банкоматах.
• Перехват данных: Атаки на уязвимые системы merchants или утечки баз данных.
• Тестирование карт: Проверка валидности карт через небольшие транзакции (card-not-present, CNP).
• Account takeover (ATO): Взлом аккаунтов пользователей для использования сохраненных карт.

В 2025 году убытки от кардинга составляют миллиарды долларов ежегодно (по данным Mastercard, глобальный ущерб от киберпреступлений прогнозируется на уровне $15.6 трлн к 2029 году). Основная уязвимость — онлайн-транзакции (CNP), где нет физического взаимодействия с картой. Новые стандарты Visa и Mastercard нацелены на устранение этих уязвимостей, делая кардинг сложнее и менее прибыльным.

Ключевые стандарты и технологии для борьбы с кардингом​

1. Secure Remote Commerce (SRC): Унификация и защита онлайн-платежей​

Secure Remote Commerce (SRC) — это стандарт, разработанный EMVCo (при участии Visa, Mastercard, AmEx и других), который создает единый процесс онлайн-оплаты, минимизирующий риски кардинга.

• Как работает SRC:
  • Пользователь регистрирует карту в системе SRC (например, через Visa Click to Pay или Mastercard Agent Pay), создавая "цифровой кошелек".
  • Вместо ввода данных карты на сайте merchant используется токен (уникальный цифровой идентификатор), привязанный к конкретной карте.
  • Для аутентификации применяется 3D Secure (3DS) и/или биометрия (отпечаток пальца, распознавание лица).
  • Процесс оплаты упрощается до одного клика, что снижает вероятность фишинга, так как данные карты не вводятся вручную.
• Как SRC борется с кардингом:
  • Токенизация: Токены бесполезны вне контекста конкретной транзакции или устройства. Даже если кардер перехватит токен, он не сможет использовать его на другом сайте или для другой операции.
  • Снижение утечек: Поскольку данные карты не хранятся у merchant, утечка базы данных (основной источник кардинга) становится менее опасной.
  • 3D Secure 2.0: Требует дополнительной верификации (например, одноразовый пароль или биометрия), что делает невозможным использование украденных данных без доступа к телефону или биометрическим данным владельца.
  • Антифишинг: SRC использует Subresource Integrity (SRI) для защиты checkout-страниц от внедрения вредоносных скриптов, которые кардеры используют для перехвата данных.
• Статус в 2025:
  • Visa завершила миграцию с Visa Checkout на Visa Click to Pay (на базе SRC), что привело к снижению фрода на 60–80% в регионах с полной интеграцией.
  • Mastercard внедряет SRC через Mastercard Agent Pay, добавляя поддержку ИИ-агентов для автоматизированных платежей (например, подписки, IoT-устройства).
  • Проблема: Не все merchants перешли на SRC из-за необходимости обновления платежных шлюзов. Это создает временные уязвимости, которыми кардеры могут пользоваться.
• Пример: Кардер покупает украденные данные карты (номер, CVV) на даркнете. Без SRC он может ввести их на сайте merchant с низкой защитой. С SRC сайт требует токен и 3DS-аутентификацию, что делает данные бесполезными без доступа к телефону или биометрии владельца.

2. Токенизация: Основной барьер для кардеров​

Токенизация — это замена реальных данных карты (PAN, Primary Account Number) на уникальный цифровой токен, который действует только в определенном контексте (устройство, merchant, транзакция).

• Visa Token Service (VTS):
  • Генерирует токены для каждой карты, привязывая их к устройству или merchant.
  • Используется в Visa Click to Pay, Apple Pay, Google Pay и других сервисах.
  • В 2025 году VTS расширяется для поддержки ИИ-агентов и IoT (например, умные холодильники, заказывающие продукты).
• Mastercard Digital Enablement Service (MDES):
  • Аналогичная система токенизации, интегрированная с Mastercard Agent Pay.
  • В 2025 году внедряются Agentic Tokens — токены для ИИ-агентов, которые автоматизируют покупки (например, подписки Netflix через голосовой ассистент).
• Как токенизация борется с кардингом:
  • Украденные данные карты (PAN, CVV) бесполезны без токена, который генерируется динамически и привязан к конкретному устройству.
  • Токены не хранятся у merchants, что снижает риск утечек.
  • При попытке кардера использовать украденные данные в токенизированной среде транзакция отклоняется из-за отсутствия валидного токена.
• Пример: Кардер пытается использовать украденный номер карты на сайте Amazon. Если Amazon использует токенизацию (например, через VTS), транзакция требует токен, которого у кардера нет. Даже при успешной утечке базы Amazon данные будут токенами, а не реальными номерами карт.

3. Биометрическая аутентификация: Новый уровень защиты​

Visa и Mastercard активно внедряют биометрию (распознавание лица, отпечатков пальцев, голоса) как часть SRC и 3D Secure.

• Visa:
  • Партнерство с QNB (Катар) в 2025 году — первое в мире внедрение биометрии в Click to Pay.
  • Используется ИИ для анализа биометрических данных с учетом privacy (GDPR, CCPA).
  • Пример: Пользователь подтверждает покупку через сканирование лица на смартфоне.
• Mastercard:
  • Интеграция биометрии в Mastercard Identity Check (часть 3DS 2.0).
  • Пилотные проекты с FIDO Alliance для стандарта verifiable credentials, где биометрия подтверждает не только личность, но и детали транзакции.
• Как биометрия борется с кардингом:
  • Кардеры не могут подделать биометрические данные (например, отпечаток пальца), даже если у них есть номер карты.
  • Снижает риски account takeover, так как доступ к аккаунту требует биометрической верификации.
  • Уменьшает зависимость от паролей, которые уязвимы для фишинга.
• Пример: Кардер получает доступ к аккаунту пользователя через украденный пароль. Попытка оплаты отклоняется, так как требуется биометрическое подтверждение, которого у кардера нет.

4. PCI DSS 4.0.1: Защита инфраструктуры merchants​

PCI DSS 4.0.1 — обновленный стандарт безопасности данных карт, обязательный с марта 2025 года (заменяет v3.2.1).

• Ключевые изменения:
  • Subresource Integrity (SRI): Защищает checkout-страницы от внедрения вредоносных скриптов (основной метод кардеров для перехвата данных).
  • Усиленный мониторинг: Merchants обязаны внедрять системы обнаружения фрода в реальном времени.
  • Гибкость: Новый "customized approach" позволяет адаптировать требования для разных бизнесов, но сохраняет строгие стандарты для онлайн-платежей.
• Как PCI DSS 4.0.1 борется с кардингом:
  • Предотвращает скимминг через защиту веб-ресурсов.
  • Требует шифрования данных на всех этапах транзакции, что снижает риск перехвата.
  • Усиливает аудит merchants, что снижает вероятность утечек, используемых кардерами.
• Пример: Кардер внедряет скиммер на сайт merchant, чтобы собирать данные карт. PCI DSS 4.0.1 требует SRI, что блокирует вредоносный скрипт, делая атаку неэффективной.

5. 3D Secure 2.0: Динамическая аутентификация​

3DS 2.0 — это протокол, требующий дополнительной верификации для онлайн-транзакций.

• Как работает:
  • Анализирует 100+ параметров транзакции (устройство, геолокация, поведение пользователя) в реальном времени.
  • Если транзакция кажется подозрительной, запрашивает дополнительное подтверждение (OTP, биометрия).
  • Поддерживает "frictionless flow" — безопасные транзакции без лишних шагов для легитимных пользователей.
• Как борется с кардингом:
  • Кардеры не могут пройти 3DS-верификацию без доступа к телефону или биометрическим данным владельца.
  • ИИ-анализ выявляет аномалии (например, покупка из другой страны), блокируя транзакции.
  • Снижает chargeback rate на 70% (данные Visa, 2024).
• Пример: Кардер пытается купить электронику, используя украденные данные. 3DS 2.0 обнаруживает несоответствие геолокации и запрашивает OTP, отправленный на телефон владельца. Транзакция отклоняется.

6. ИИ и машинное обучение в обнаружении фрода​

Visa и Mastercard инвестируют миллиарды в ИИ для борьбы с кардингом (Visa: $3 млрд за 10 лет).

• Visa Advanced Authorization:
  • Анализирует миллиарды транзакций в реальном времени, выявляя паттерны кардинга.
  • Использует геолокацию, поведенческий анализ и данные устройств для оценки риска.
• Mastercard Decision Intelligence:
  • ИИ-модель, обновленная в 2025 году, интегрируется с Agent Pay для защиты ИИ-агентных транзакций.
  • Партнерство с Recorded Future (приобретение в 2025) для threat intelligence.
• Как ИИ борется с кардингом:
  • Выявляет тестирование карт (маленькие транзакции для проверки валидности).
  • Блокирует массовые атаки (например, brute force на checkout-страницах).
  • Адаптируется к новым методам кардинга, включая ИИ-генерированные фейковые аккаунты.
• Пример: Кардер тестирует украденные карты через микротранзакции. ИИ Visa обнаруживает аномалию (многократные попытки с одного IP) и блокирует аккаунт.

7. Agentic Commerce и Agentic Tokens​

Mastercard активно развивает Agent Pay и Agentic Tokens для автоматизированных платежей, выполняемых ИИ-агентами (например, голосовые ассистенты, умные устройства).

• Как работает:
  • ИИ-агенты (например, Alexa) получают токены для выполнения транзакций от имени пользователя.
  • Верификация через Verifiable Credential Standard (FIDO Alliance) подтверждает легитимность агента и транзакции.
• Как борется с кардингом:
  • Токены привязаны к конкретному агенту и транзакции, что делает их бесполезными для кардеров.
  • ИИ-мониторинг выявляет подозрительные действия агентов (например, попытки несанкционированных покупок).
• Пример: Кардер взламывает умный холодильник для заказа товаров. Agentic Token требует верификации через Mastercard, блокируя транзакцию, если агент не авторизован.

8. Visa Acquirer Monitoring Program (VAMP)​

VAMP — новая программа Visa (с 1 апреля 2025), объединяющая пять предыдущих программ мониторинга эквайеров.

• Как работает:
  • Эквайеры обязаны отслеживать фрод в реальном времени, используя строгие пороговые значения (например, 0.9% fraud rate).
  • Штрафы за превышение лимитов фрода.
• Как борется с кардингом:
  • Заставляет эквайеров внедрять антифродовые меры, снижая вероятность успешных атак.
  • Фокус на CNP-транзакциях, где кардинг наиболее распространен.
• Пример: Эквайер игнорирует подозрительные транзакции, позволяя кардерам провести серию покупок. VAMP выявляет это и налагает штрафы, мотивируя усилить защиту.

Практические примеры и образовательный контекст​

Для лучшего понимания я приведу два сценария, иллюстрирующих, как новые стандарты предотвращают кардинг:

1. Сценарий 1: Фишинговая атака
   • Кардер создает поддельный сайт, имитирующий checkout-страницу крупного ритейлера, и собирает данные карт.
   • Без новых стандартов: Пользователь вводит данные карты, которые попадают к кардеру и используются для покупок.
   • С новыми стандартами:
     • SRC (Visa Click to Pay): Пользователь не вводит данные карты, а использует токен и биометрию.
     • PCI DSS 4.0.1 (SRI): Вредоносный скрипт блокируется, так как checkout-страница защищена.
     • 3DS 2.0: Даже если данные перехвачены, транзакция требует OTP или биометрии, недоступных кардеру.
2. Сценарий 2: Утечка базы данных
   • Кардер покупает базу данных с номерами карт на даркнете.
   • Без новых стандартов: Кардер использует данные для покупок на сайтах с низкой защитой.
   • С новыми стандартами:
     • Токенизация (VTS/MDES): В базе хранятся токены, а не реальные номера карт, что делает данные бесполезными.
     • ИИ-мониторинг: Visa/Mastercard выявляют массовые попытки транзакций с одного IP и блокируют их.
     • VAMP: Эквайер, допустивший утечку, получает штрафы и ужесточает защиту.

Будущие вызовы и ограничения​

Несмотря на прогресс, кардинг остается сложной проблемой:

• Медленная миграция: Не все merchants перешли на SRC или PCI DSS 4.0.1 из-за высоких затрат на интеграцию (особенно малый бизнес).
• Новые угрозы: Кардеры используют ИИ для создания фейковых аккаунтов и обхода биометрии (например, deepfakes).
• Региональные различия: В регионах с низким уровнем цифровизации (например, некоторые страны Африки) внедрение SRC и 3DS идет медленно, оставляя уязвимости.

Visa и Mastercard решают эти проблемы через:

• Программы поддержки merchants (Visa Trusted Integration Program, Mastercard Start Path).
• Партнерства с локальными банками для ускорения внедрения.
• Инвестиции в ИИ для борьбы с новыми методами кардинга.

Рекомендации для merchants и пользователей​

1. Для merchants:
   • Интегрируйте SRC через SDK (Visa Click to Pay, Mastercard Agent Pay).
   • Пройдите сертификацию PCI DSS 4.0.1 до марта 2025.
   • Внедрите 3DS 2.0 и ИИ-мониторинг для выявления фрода.
   • Используйте токенизацию для хранения данных карт.
2. Для пользователей:
   • Используйте цифровые кошельки (Apple Pay, Google Pay) или Click to Pay для безопасных покупок.
   • Включите двухфакторную аутентификацию и биометрию в банковских приложениях.
   • Избегайте ввода данных карты на непроверенных сайтах.

Заключение​

Visa и Mastercard в 2025 году делают ставку на SRC, токенизацию, биометрию, ИИ и PCI DSS 4.0.1, чтобы минимизировать кардинг. Эти технологии усложняют работу кардеров, делая украденные данные бесполезными без дополнительной верификации. SRC, как унифицированный стандарт, играет ключевую роль, заменяя устаревшие системы и обеспечивая безопасность в эпоху ИИ-платежей. Однако успех зависит от глобального внедрения и адаптации merchants. Для углубленного изучения рекомендую обратиться к официальным ресурсам EMVCo, Visa Developer Portal и Mastercard Rules.

Если нужно больше деталей или примеров (например, технические аспекты SRC или статистика фрода), дайте знать!

 

[BadB]

Новые стандарты безопасности от Visa и Mastercard​

Visa и Mastercard активно разрабатывают и внедряют новые стандарты безопасности для платежей, фокусируясь на защите онлайн-транзакций, интеграции ИИ, биометрии и токенизации. Эти инициативы направлены на снижение фрода, упрощение checkout-процесса и адаптацию к эре агентских платежей (agentic commerce). Ключевой будущей технологией, упомянутой в запросе, является Secure Remote Commerce (SRC) — отраслевой стандарт EMVCo, который унифицирует безопасные удаленные платежи. Ниже я разберу основные разработки на основе актуальных данных на 2025 год.

Secure Remote Commerce (SRC): Будущая основа безопасного e-commerce​

SRC — это глобальный стандарт, разработанный EMVCo (с участием Visa, Mastercard, American Express и Discover), который имитирует процесс оплаты в магазине для онлайн-покупок. Он позволяет создавать единый "цифровой терминал" для checkout, минимизируя ввод данных карты и повышая безопасность через токенизацию и 3D Secure.

• Статус и развитие: Запущен в 2019 году, в 2025 году SRC эволюционирует в рамках "Unified Click to Pay" и интегрируется с новыми технологиями, такими как ИИ-агенты. Visa продвигает его через Visa Click to Pay, а Mastercard — через Mastercard Agent Pay, где SRC применяется для верификации платежей ИИ-агентами. Это снижает фрод на 60–80% за счет токенов и биометрии.
• Ключевые особенности:
  • Упрощение: Один клик для оплаты без повторного ввода данных.
  • Безопасность: Токенизация (замена номера карты на токен), биометрическая аутентификация и защита от фишинга.
  • Будущие применения: Интеграция с AR/VR, голосовыми ассистентами и ИИ (например, в Mastercard Agentic Tokens для автоматизированных покупок).
• Внедрение в 2025: Полная миграция legacy-решений (Visa Checkout, Masterpass) на SRC. Merchants должны интегрировать SRCi (Secure Remote Commerce Initiator) для поддержки.

Другие новые стандарты и технологии​

Вот сравнение ключевых разработок Visa и Mastercard на 2025 год. Я использовал таблицу для ясности.

Компания	Стандарт/Технология	Описание	Внедрение в 2025	Преимущества
Visa	PCI DSS 4.0.1	Обновленный стандарт безопасности данных карт, включая Subresource Integrity (SRI) для защиты веб-ресурсов от подмены. Заменяет v3.2.1 в марте 2025.	Обязателен для merchants; Visa обновляет Microform V2 для compliance.	Снижает риски атак на веб-приложения; повышает целостность JS/CSS-файлов.
Visa	Visa Acquirer Monitoring Program (VAMP)	Новая консолидированная программа мониторинга эквайеров (с 1 апреля 2025), объединяющая 5 предыдущих. Включает строгие пороги фрода.	Обязательна для всех эквайеров; фокус на глобальном fraud-мониторинге.	Улучшает выявление рисков; штрафы за несоблюдение.
Visa	Биометрическая аутентификация	Расширение Visa Click to Pay с биометрией (лицо/отпечаток) для онлайн-платежей. Партнерство с QNB (Катар) — первое в мире.	Полный rollout в 2025; интеграция с AI для privacy.	Увеличивает удобство и снижает фрод; соответствует GDPR.
Visa	Future of Security Roadmap	Многоуровневая стратегия: токенизация (Visa Token Service), мобильная геолокация и Zero Liability.	Постоянное обновление; фокус на AI в fraud-detection.	Защищает от утечек данных; награды за EMV-чипы (TIP-программа).
Mastercard	Agent Pay и Agentic Tokens	Программа для ИИ-агентных платежей: токены для безопасных автоматизированных транзакций (recurring, subscriptions).	Запуск в 2025; партнерство с Microsoft для Azure OpenAI.	Прозрачность: верификация агентов; стандарты для agentic commerce.
Mastercard	Verifiable Credential Standard (с FIDO Alliance)	Новый стандарт для подтверждения деталей платежа (сумма, merchant) в ИИ-транзакциях.	Разработка в 2025; интеграция с Model Context Protocol (MCP).	Предотвращает подделки; обеспечивает доверие в AI-платежах.
Mastercard	Start Path Security Solutions	Программа для стартапов: ускорение инноваций в cybersecurity, digital identity и fraud-mitigation.	Запуск в июле 2025; приобретение Recorded Future для threat intelligence.	Демократизация кибербезопасности; прогнозируемый ущерб от киберпреступлений — $15.6 трлн к 2029.
Mastercard	Cryptography Self Test Tool (CSTT) и PCI 3DS	Инструменты для тестирования криптографии и 3D Secure; compliance с PCI Secure SLC Standard.	Обновление в феврале 2025; обязательны для merchants с 3DS.	Защищает каналы передачи; снижает уязвимости в ПО.

Общие тенденции​

• Интеграция ИИ и биометрии: Обе компании инвестируют в AI для предиктивного фрода (Visa — $3 млрд за 10 лет) и биометрию для аутентификации, с акцентом на privacy (GDPR, AI governance).
• Токенизация и SRC: Основной тренд — переход от номеров карт к токенам, интегрированным в SRC для всех брендов.
• Compliance и глобальные правила: Обе сети усиливают PCI DSS и мониторинг (VAMP для Visa, Mastercard Rules). Несоблюдение влечет штрафы.
• Будущий фокус: В 2025+ ожидается рост agentic payments (ИИ-агенты как "покупатели") и blockchain для прозрачности (Mastercard Multi-Token Network).

Для merchants: Рекомендуется обновить интеграции (SDK для SRC) и пройти PCI-аудит. Если нужны детали по реализации, обратитесь к developer-порталам Visa/Mastercard. Эти стандарты делают платежи удобнее и безопаснее, снижая abandonment на 30–50%.