Инструкция для организаций о мерах безопасности и правилах обслуживания по банковским картам

___________________________________________________________ (полное наименование, адрес, организации)
Утверждаю
__________________________
(руководитель организации)
__________________________
(подпись, М.П.)
"___"____________ _____ г.

ИНСТРУКЦИЯ о мерах безопасности и правилах обслуживания по банковским картам I. Общие положения
1.1. Инструкция _____ "_______________" (далее соответственно - "Инструкция" и "Организация") предназначена для обеспечения безопасного обслуживания клиентов, расплачивающихся с использованием банковских карт, в том числе в случае чрезвычайных ситуаций, разграничения прав доступа и обеспечения конфиденциальности информации, не допускающих возможности использования указанной информации в собственных интересах Организации, сотрудниками Организации и третьими лицами в ущерб интересам клиентов.
1.2. В целях контроля исполнения настоящей Инструкции в Организации создана специальная служба.
1.3. Настоящая Инструкция разработана с учетом Письма Банка России от 02.10.2009 N 120-Т "О памятке "О мерах безопасного использования банковских карт".
1.4. Банковская карта (далее по тексту - карта) является собственностью выпустившего ее банка-эмитента и может быть использована для оплаты товаров, услуг, работ только законным держателем карты. Имя держателя карты указано на лицевой стороне карты, образец подписи имеется на панели для подписи, данные предъявленного им удостоверяющего личность документа должны соответствовать данным на карте. По существу карта выполняет две функции: идентификацию держателя и идентификацию счета, где находятся финансовые средства пользователя.
1.5.  Кредитные  организации  (эквайреры),   осуществляющие  расчеты  с
Организацией  по операциям,  совершаемым с использованием платежных карт, -
___________________________________________________________________________
__________________________________________________________________________.
(наименования, адреса, телефоны, адреса электронной почты
кредитных организаций)

1.6. Личность гражданина России устанавливается по общегражданскому паспорту (с поддельными картами обычно предъявляются поддельные загранпаспорта), удостоверению военнослужащего. Личность иностранца можно установить по национальному паспорту, аккредитационной карте дипломата, журналиста, бизнесмена.
1.7. К работе с картами допускаются следующие сотрудники:
1.7.1. Кассир, операционист и т.п.
1.7.2. Менеджер по работе с клиентами.
1.7.3. _______________________________________________________________.
(иные специалисты)

II. Правила работы с банковскими картами
2.1. Карта не может быть передана ее законным держателем для использования третьему лицу ни при каких обстоятельствах.
2.2. Под незаконной операцией с картой понимается: использование или попытка использования карты на чужое имя, поддельной карты или подделка самой карты, использование мошеннически полученных бланков слипов и слипов не своей Организации, нанесение на оттиск с карты дополнительных символов/записей - подделка слипа, использование вместо карты чистого пластика с выбитыми на нем или закодированными на магнитной полосе данными с подлинной карты (т.н. "белый пластик"), вписание в слип не полученного в Центре авторизации кода, взлом чипа, внесение изменений в исходные программы карты, а также противоправное использование карты ее законным держателем.
2.3. Принимая карты, каждый сотрудник Организации следует следующим правилам:
1. Операции с картой проводятся только в присутствии истинного держателя карты. Это необходимо в целях снижения риска неправомерного получения его персональных данных, указанных на банковской карте.
2. Проверка срока действия карты.
3. Проверка соответствия карты международным стандартам и отсутствия ограничений ее использования одной страной или регионом, указанным на карте (например, "Valid only in...").
4. Отсутствие внешних повреждений или признаков подделки карты.
5. Проверка подписи на панели для подписи - без подписи карта не принимается к обслуживанию.
6. Сличение подписи на слипе/чеке POS-терминала и образца подписи на карте.
7. Проверка совпадения данных на дисплее POS-терминала с данными, нанесенными на предъявленной карте, - возможно их несоответствие в случае подделки магнитной полосы карты.
2.4. Основные признаки поддельных карт EUROCARD/MASTERCARD и VISA, наиболее часто встречающиеся в настоящее время в России, и методы их выявления:
1. Голограмма (ОБЪЕМНОЕ ИЗОБРАЖЕНИЕ). На поддельных голограммах изображение может переливаться всеми цветами радуги, однако ОБЪЕМ изображения отсутствует. Фон настоящей голограммы чистый, изображения легко различимы и детальны. Фон поддельной голограммы тусклый, а изображение нечеткое. Поддельная голограмма EURO часто отслаивается (пузырится) при надавливании на лицевую поверхность и изгибе карты в районе голограммы. Фольга с изображением поддельной голограммы задирается ногтем. Настоящая голограмма не пузырится при изгибе карты, не дает утолщений и не может быть повреждена при попытке снять ее с пластика ногтем.
2. Панель для подписи. Вместо панели для подписи наклеивается полоска белой бумаги. Края панели для подписи легко задираются. На панели в ряде случаев отсутствует или стерт фон в виде трехцветной надписи "Mastercard" (карты EURO), двухцветной "Visa" (карты VISA) или трехцветной "Electron" (карты Visa Electron).
3. Ламинирование. На лицевой стороне карты (иногда и на оборотной стороне) может быть нанесена прозрачная клеящаяся пленка - ламинат. Ламинирующая пленка отслаивается на краях карты, а иногда в районе поддельной голограммы и эмбоссинга неплотно прилегает к пластику.
4. БИН банка-эмитента. Первые четыре цифры номера счета (карты), продублированные краской (обычно черной), могут стираться с карты. На настоящей карте BIN стереть невозможно.
5. Логотип. Логотип Visa отличается по цвету от стандартного и стирается с карты.
6. Стилизованные символы. Символы "V", "MC" и "Ф" сделаны грубо и отличаются от стандартных.
7. Ультрафиолетовые символы. В ультрафиолетовом свете на картах может отсутствовать изображение букв "MC" у EURO, изображение летящего голубя у VISA и стилизованный символ "Ф" у Diners Club. На некоторых подделках эти символы имеются, однако они нечетки и размыты, а также светится сама карта, чего не должно быть.
8. Магнитная полоса. Данные магнитной полосы не соответствуют информации, эмбоссированной на карте.
9. Чип. Сбой программ или несоответствие внешних данных карты и содержания чипа.
10. Иные, указанные сотрудниками правоохранительных органов, банком или специалистами службы безопасности Организации.
2.5. Особенности обслуживания микропроцессорных (чиповых) или "совмещенных"/"гибридных" карт (то есть карт, имеющих как микропроцессор, так и магнитную полосу):
Если в Организации установлен терминал, не способный принимать чиповые карты, то обслуживание "гибридной" карты возможно и проводится аналогично обслуживанию карт с магнитной полосой.
Если в Организации установлен терминал, способный принимать чиповые карты, то обслуживание чиповой или "совмещенной" карты необходимо начинать с использования чипа карты и "чипа ридера" терминала, при этом кассир должен следовать инструкциям, появляющимся на дисплее терминала. Чиповая карта остается в считывающем устройстве терминала на протяжении всей операции и не вынимается из него до момента ее полного завершения. Преждевременное удаление чиповой карты из считывающего устройства прервет выполнение операции.
При проведении операции кассир предлагает держателю чиповой карты тот метод идентификации, который предлагается терминалом. При этом кассир не имеет права выбрать иной метод. Допустимы два метода идентификации держателей чиповых карт: по подписи или по ПИН-коду. При идентификации по подписи не требуется ввод ПИН-кода и наоборот. При проведении чиповых трансакций, требующих подписи, процедура ее сверки та же, что и для операций по картам с магнитной полосой.
При вводе ПИН-кода необходимо предоставлять держателю максимум возможностей, позволяющих предотвратить компрометацию ПИН-кода.
Получив отрицательный ответ на авторизационный запрос по чиповой карте, не следует пытаться провести авторизацию повторно по магнитной полосе или каким-либо другим способом. Если получен отрицательный авторизационный ответ, не связанный с изъятием карты, нужно попросить клиента оплатить товар в любой другой форме.
2.6. Если в чиповом терминале обслуживается карта с магнитной полосой, не имеющая микропроцессора (то есть карта прокатывается через ридер магнитной полосы), и при этом терминал предлагает обслужить эту карту как чиповую (появляется инструкция "ИСПОЛЬЗУЙТЕ ЧИП"), то это является признаком подделки карты.
Если к обслуживанию предлагается платежная карта без микропроцессора и тем не менее на терминальном чеке распечатывается слово "CHIP" - это также является признаком подделки карты.
При малейшем подозрении, что карта является поддельной или предъявлена не ее законным держателем, необходимо сделать авторизационный запрос вне зависимости от суммы сделки. Надо иметь в виду, что на поддельные или только что украденные карты может быть дан код авторизации. Получение кода не является основанием для предоставления обслуживания по таким картам.
После этого предпринимается попытка установить личность держателя карты посредством предъявления удостоверяющих личность документов.
2.7. Особенности поведения предъявителей карт, которые должны вызывать настороженность сотрудника Организации.
1. Замедленное, неуверенное подписывание слипа/чека POS-терминала.
2. Неестественное, нервное поведение, излишняя разговорчивость, попытки ускорить оформление сделки.
3. Несоответствие внешности и фамилии держателя, указанной на карте (например, в случае предъявления лицом с европейской внешностью карты на имя гражданина одной из стран ЮВА или Латинской Америки).
4. Карта достается из кармана, а не из бумажника.
5. Стремление покупать все без разбора, любых размеров и т.п.
6. Желание самостоятельно доставить домой крупные товары (компьютер, холодильник и т.п.), несмотря на предлагаемую предприятием услугу по доставке товара на дом.
2.8. Действия сотрудника Организации для проверки подлинности карты и принадлежности держателю:
1. Установить личность предъявителя карты, попросив предъявить удостоверяющие личность документы; идентифицировать фотографию в документе с личностью предъявителя карты и убедиться, что в документе отсутствуют признаки фотообмена (переклеенной фотокарточки).
2. На лицевой стороне чека POS-терминала (под подписью сотрудника Организации) вписать паспортные данные держателя карты (Ф.И.О. полностью, дату рождения, место рождения, серию и номер) или сделать копию документа.
3. При обслуживании держателя карты на сумму покупки 10 000 рублей и более: идентифицировать личность клиента, проверив паспорт или документ его заменяющий. На лицевой стороне чека POS-терминала (под подписью сотрудника Организации) вписать паспортные данные держателя карты (Ф.И.О. полностью, дату рождения, место рождения, серию и номер) или сделать копию документа. В случае получения отказа клиента в предъявлении документов, удостоверяющих его личность, сотрудник Организации вправе отказать в обслуживании карты и предложить расплатиться наличными.
2.9. В случае возникновения сомнения в правомерности использования предъявленной карты:
1. Сотрудник вправе попросить предъявить документ, удостоверяющий личность держателя карты, и сделать ксерокопию или переписать данные документа на слипе/чеке POS-терминала.
2. Перед проведением операции круглосуточно звонить в службу авторизации по тел. _______________, _______________ для проверки соответствия названия банка эмитента на карте (логотипа банка) и первых шести цифр (БИНа банка) номера карты.
3. В случае отказа держателя карты предъявить документы, удостоверяющие его личность, сотрудник Организации вправе отказать в обслуживании предъявленной карты и предложить расплатиться наличными.
2.10. Проведение авторизации.
Голосовая авторизация может быть проведена только в случае неисправности терминала либо в случае получения сообщения "СВЯЖИТЕСЬ С БАНКОМ". В остальных случаях сотрудник Организации обязан провести электронную авторизацию через имеющийся POS-терминал. В случае получения отказа в совершении покупки на экране POS-терминала появится сообщение "ОПЕРАЦИЯ ОТКЛОНЕНА" (НА ЧЕКЕ ТЕРМИНАЛА БУДЕТ УКАЗАНА ПРИЧИНА ОТКАЗА) - голосовую авторизацию не проводить, карточку не обслуживать. Держателю карточки предложить обратиться в банк-эмитент.
2.11. Действия сотрудника Организации при выявлении поддельной карты или незаконного держателя в следующих случаях:
1. Наличие явных признаков подделки карты (см. Признаки поддельных карт).
2. Подделка магнитной полосы или чипа (несоответствие данных с магнитной полосы или с чипа данным, эмбоссированным на карте).
3. Предъявление лицом карты на чужое имя (несоответствие подписи лица, предъявившего карту, образцу подписи законного держателя на оборотной стороне карты и/или несоответствие данных, удостоверяющих личность документов, данным на карте).
4. Получение из Центра авторизации команды "изъять карту" ("REFERRAL A") или "отказ в обслуживании" ("REFERRAL B"), необходимо связаться по телефону со службой авторизации и в случае получения указания "изъять - мошенничество" обязательно потребовать удостоверяющие личность документы.
5. Карта имеет серьезные повреждения (надломана, надрезана, проглажена утюгом и ее оттиск на слипе нечитаем).
Необходимо, не возвращая карту клиенту:
а) при электронной авторизации попросить предъявить паспорт или иной документ, удостоверяющий личность, и записать данные документа;
б) при голосовой авторизации оформить слип, дать предъявителю расписаться на нем, попросить предъявить паспорт или иной документ, удостоверяющий личность, и записать его данные на слипе;
в) в том случае, если это необходимо, может быть использован условный сигнал при запросе авторизации - "КОД 10". Сотрудник авторизации сам проинформирует и вызовет в Организацию представителей органов полиции;
г) принять меры к задержанию мошенника с помощью сотрудников охраны Организации, если это не угрожает Вашей безопасности и не противоречит внутренним правилам Организации. Вызвать сотрудников местного отделения полиции по телефону 02;
д) оформить протокол задержания (в случае если сотрудник полиции намерен забрать с собой изъятую карту и оформленный слип в качестве вещественных доказательств - оформить на месте официальный протокол изъятия этих документов);
е) записать данные сотрудника, прибывшего на задержание, а также его должность и рабочий телефон;
ж) проинформировать сотрудника полиции, что о попытке незаконного использования карты будет незамедлительно поставлено в известность Управление по экономическим преступлениям УВД ____________________;
з) круглосуточно сообщать о случившемся в УЭП УВД ____________________ по тел. _______________ и в Службу безопасности эквайрера по указанным телефонам и электронным адресам;
и) составить отчет об изъятии, в котором необходимо указать, где и кем была изъята карта, его паспортные данные, номер карты, срок ее действия, а также имя и фамилию предъявившего ее лица;
к) в течение _____ часов переслать изъятую карту эквайреру по указанному адресу.
2.12. Категорически запрещены следующие действия:
1. Оформление двух (или более) операций с получением авторизации на меньшие суммы вместо оформления одной операции с получением одной авторизации на их общую (итоговую) сумму.
2. Совершение двух и более операций подряд (с интервалом времени менее __ минут) по одной карте.
3. Снижение суммы авторизации после получения двух отказов "Недостаточно средств". В этом случае предложить клиенту связаться с банком-эмитентом или расплатиться другой картой.
4. Двойная прокатка карты при оформлении слипа.
5. Внесение изменений в оставшиеся две копии слипа.
6. Использование "белого пластика".
7. Передача бланков слипов посторонним лицам.
2.13. Особенности обработки карт при работе с POS-терминалом. Сотрудник Организации обязательно сличает номер, эмбоссированный на карте, с номером на дисплее POS-терминала. В случае если при попытке оплаты картой имела место "неуспешная" операция, следует предупредить истинного держателя карты о необходимости сохранить один экземпляр выданного терминалом чека для последующей проверки на отсутствие указанной операции в выписке по банковскому счету.
2.14. В случае если имеются предположения о раскрытии ПИНа, персональных данных, позволяющих совершить неправомерные действия с банковским счетом истинного держателя карты, а также если банковская карта была утрачена, сотрудник Организации немедленно обращается к эквайреру и следует указаниям сотрудника данной кредитной организации.

III. Обязанности руководителя и работников Организации
3.1. Руководитель Организации:
- оказывает содействие каждому сотруднику в выполнении ими своих обязанностей по Инструкции;
- организует устранение выявленных нарушений законодательства Российской Федерации, нормативных актов Банка России, внутренних документов Организации, а также причин и условий, способствовавших совершению нарушения.
3.2. Сотрудники Организации:
- оказывают содействие друг другу, Службе контроля и руководителю в выполнении ими своих обязанностей;
- уведомляют Службу контроля, своего непосредственного руководителя, руководителя о предполагаемых нарушениях законодательства Российской Федерации, в том числе нормативных актов Банка России и внутренних документов Организации другими работниками Организации или клиентами Организации;
- уведомляют ответственных сотрудников Организации о выявленных операциях, подлежащих обязательному контролю либо соответствующих признакам и/или критериям подозрительных и необычных операций с картами.

IV. Контроль, ответственность за нарушение или неисполнение Инструкции
4.1. Контроль за исполнением Инструкции возложен на ___________________
__________________________________________________________________________.
(структурное подразделение Организации)

4.2. Лица, нарушающие или не исполняющие требования Инструкции, привлекаются к дисциплинарной, административной или уголовной ответственности.
4.3. Руководители структурных подразделений Организации несут персональную ответственность за исполнение обязанностей их подчиненными.