• Использование экранов банкоматов для демонстрации того как должны выглядеть банкомат и считыватель карты.
• Контроль доступа при обслуживании банкоматов с отслеживанием людей, осуществлявших доступ к банкомату.
3. В случае установки нового банкомата в помещении с высоким риском и (или) при межстенном расположении антискимминговое устройство должно быть установлено как стандартная опция поставщиком банкомата или третьим лицом (сервисной службой).
Необходимо провести градацию мест установки банкоматов по категориям риска. Например, к зонам повышенного риска можно отнести межстенные банкоматы, банкоматы вне зоны наблюдения, с 24-часовым доступом. Категории риска места установки банкомата должны периодически пересматриваться.
4. Если банкомат подвергся нападению, антискимминговое устройство должно быть модернизировано.
Так как не все банкоматы или места их расположения одинаково уязвимы, то необходимо дополнительно рассмотреть рекомендации пункта 2 для банкоматов, которые подверглись нападению.
5. Операторы банкоматов, эмитенты и производители карт должны совершенствовать системы и процедуры определения скимминговых атак и мошеннических операций. Необходимо развивать сотрудничество и обмен информацией, чтобы свести потери к минимуму.
PCI Security Standards Council в январе 2013 г. выпустил документ Information Supplement: ATM Security Guidelines, который носит рекомендательный характер. В данном документе говорится, что нужен глобальный стандарт по безопасности банкоматов, регламентирующие документы PCI PTS POI Security Requirements и PCI PIN Security Requirements являются превосходными отправными точками для необходимого стандарта. При этом указывается, что они применяются только для ПОС-терминалов и возможность их применения для ATM только рассматривается PCI SCC. Во-первых, непонятно, что подразумевается под SCC. Возможно, это опечатка и имелся в виду SSC — Security Standards Council? Во-вторых, получается, что регламентирующих документов в отношении безопасности банкоматов со стороны PCI SSC нет, в том числе не подлежат обязательному исполнению PCI PTS и PCI PIN. Хотя в данных документах имеются прямые указания на требования в том числе и к банкоматам. Например, PCI PIN просто начинается с упоминания о банкоматах — в этом документе содержится полный комплект требований по безопасному управлению, обработке и передаче данных персонального идентификационного номера (ПИН) в процессе транзакции платежной карты в режимах онлайн и офлайн в банкоматах и терминалах для производства платежей в месте совершения покупки (ПОС-терминалах). В PCI PTS также говорится, что он распространяется на банкоматы, например ПИН-клавиатура банкомата должна быть сертифицирована по данному документу. Недостаточная проработанность данного документа (ATM Security Guidelines) проявляется в пункте 3.2, в котором говорится, что похищенная на банкоматах информация ПИН и трек (account data) применяются криминалом для изготовления поддельных карт и используется по всему миру, включая снятия в банкоматах, покупки в ПОС с ПИН, а также покупки без ПИН в операциях без присутствия карты. Такое утверждение свидетельствует о полном непонимании технологии мошенничества. Если у злодея есть трек и ПИН, зачем ему нужно в торговом ПОС-терминале осуществлять покупку (с использованием ПИН-кода), вместо того чтобы просто снять наличные в банкомате? Если есть только трек, но ПИН-кода нет, то изготавливают поддельную карту и используют в торговом ПОС-терминале, а не в card-not-present, так как нет CW2/CVC2 и 3D Secure.