Платежные карты: Бизнес-энциклопедия - Проект

Следует отметить, что в реальной жизни в настоящее время чисто оффлайновая схема практически не используется. Использование средств удаленного доступа к ресурсам процессора и организация нескольких сеансов файлового обмена с процессором в день приближают её по возможностям к онлайну.

Построение процессингового центра банка является многостадийным проектом, в ходе реализации которого необходимо решить комплекс задач по проектированию и подготовке помещений, инженерной инфраструктуры, выбору программно-аппаратной платформы, разработке организационных процедур.

Особое внимание на стадии проектирования должно быть уделено вопросам физической, логической и информационной безопасности, так как внесение изменений в уже реализованные элементы конструкций и инфраструктуры по результатам аудитов (помещения, элементы программно-аппаратного комплекса) может быть сопряжено со значительными финансовыми и временными затратами. Привлечение к процессу проектирования внешних консультантов и поставщиков, знакомых с процедурами аудита и требованиями платежных систем, позволит избежать возможных ошибок и дополнительных затрат на их устранение.

В процессе построения и ввода в эксплуатацию процессингового центра, как и в создании любой автоматизированной системы управления, можно выделить несколько стадий (табл. 5).

Отдельным вопросом при построении ПЦ является выбор программно-аппаратной платформы, так как именно она определяет пользовательские характеристики всей системы. В мире существует достаточное количество поставщиков решений для обработки транзакций с использованием пластиковых карт. Заинтересованный специалист без труда составит список на основе публикаций в профильной прессе («European Card Review», «ПЛАС») либо по каталогам отраслевых выставок типа CARTES (www.cartes.com). Отрадно, что наряду с зарубежными (ACI, Euronet Worldwide, Tieto Enator, M2M, CardTech и т. п.) вендорами в этом ряду присутствуют и отечественные компании (OpenWay, БПЦ, Compass Plus), знакомые со спецификой реализации российских проектов (такой как мультивалютность в устройствах и расчетах, форматы интерфейсов с локальными поставщиками услуг — сотовыми операторами и т. п., нормами законодательства и бухгалтерского учета).

В качестве общей специфики стоит учесть, что в термин «бэк-офис карточной системы» западные поставщики вкладывают только поддержку жизненного цикла карты, российские же клиенты как правило ожидают, что помимо этой функции карточный бэк-офис будет выполнять функции ритейлового приложения и учетной системы.

При подготовке тендерной документации для выбора программно-аппаратной платформы ПЦ необходимо уделить внимание целому ряду факторов (см. табл. 6).

Существенную помощь в этом процессе окажет наличие констатирующего документа, отражающего концепцию развития карточного проекта в масштабах банка в целом и процессинговой системы (см. рис. 5) в частности. Документ должен:

• определить цель и масштабы проекта, обозначить его функциональность (поддерживаемый продуктовый ряд, функции, выполняемые процессинговым центром для поддержки эмиссии/эквайринга, список функциональных требований к прикладному программному обеспечению и т. п.);

• констатировать текущее состояние дел по результатам системного обследования (выпускаемые продукты, используемые решения, наличие квалифицированного персонала, существующие ограничения, используемые помещения, коммуникационные ресурсы и т. п.);

• перечислить крупные задачи проекта (инсталляция, запуск персонализации, эмиссия, эквайринг, интеграция с банковской системой, подключение и сертификация интерфейсов к платежным системам);

• обозначить ограничения, при которых задачи будут решаться (необходимость обучения (привлечения) персонала, ограничения на используемые аппаратные и коммуникационные платформы, требования по производительности и масштабированию системы);

• указать сроки решения этих задач и исполняющие их подразделения;

• определить необходимые затраты и возможные риски.

Рассматривая организационную структуру процессинга (рис. 6), будем исходить из предположения, что наш процессинговый центр является организационной единицей вне банка, т. е. предоставляет банкам услуги процессинга. В этом случае подразделения, отвечающие за разработку продуктов, взаимоотношения и расчеты с платежными системами в составе процессинга отсутствуют (являются банковскими), а процессинг представлен в основном технологическими и операционными подразделениями.

В табл. 7 приведены функции основных подразделений процессингового центра согласно изображенной диаграмме.

Повседневная деятельность подразделений процессингового центра и их взаимодействие с финансовыми институтами и платежными системами регламентируется процедурами.

Процедуры процессингового центра должны быть формализованы, утверждены руководителями задействованных подразделений, а также регулярно пересматриваться с определенной периодичностью.

В табл. 8 приведен ряд основных процедур, а также задействованные в них подразделения.

Безопасность процессинговых центров

Одним из наиболее важных практических аспектов функционирования процессингового центра банка является обеспечение его безопасности. В отличие от обычных информационных систем процессинговый центр банка содержит информацию о реквизитах, позволяющих получить доступ к деньгам клиентов, и компрометация этих данных может привести к значительным финансовым потерям. Вот почему существенная доля затрат при создании и функционировании процессинга связана с расходами на обеспечение безопасности.

Рассмотрим некоторые аспекты безопасности процессинговых центров.

Физическая безопасность — подразумевает ограничение доступа неавторизованного персонала на территорию центров обработки данных и персонализации, а также устойчивость указанных зданий к внешним воздействиям. В помещениях и технических зонах должны быть использованы средства контроля доступа (далее — СКД), в зонах особого режима — технические средства охраны и видеонаблюдения.

Организационно-техническая безопасность — подразумевает существование службы офицеров безопасности (security officers). К обязательным мерам относится наличие процедур, регламентирующих жизненный цикл криптографических ключей (key management), наличие и исполнение процедур доступа к данным и криптографической информации, а также процедуры аудита.

В информационной системе процессингового центра должны использоваться средства аутентификации, разграничения доступа и аудита.

Обязательным правилом должно быть наличие раздельных сред разработки, тестирования и эксплуатации приложений, с вынесением среды эксплуатации в отдельный программно-аппаратный комплекс. Все новые программные и технические средства должны предварительно проходить тестирование в специально выделенных средах. Желательно также, чтобы разработкой и сопровождением системы занимались отдельные подразделения процессингового центра.

Транзакционная безопасность — комплекс мер, направленных на обеспечение целостности информационного обмена между хостами и устройствами, предотвращение фальсификации данных и невозможности получения ПИН-кодов из данных транзакций. Технически обеспечивается использованием многоступенчатой системы ключей для шифрования ПИН-блоков (одноразовые сессионные ключи устройств, транспортные ключи для интерфейсов), применением MAC-кодов (Message Authentication Code) для подтверждения целостности сообщений, использованием аппаратных средств шифрования (HSM — Hardware Security Module) для хранения криптографических данных и выполнения операций трансляции и проверки ПИН-кодов.

Важное значение имеет также проверка соответствия данных транзакции данным магнитной полосы карты, а также данным, находящимся в БД процессинга — это позволяет отсекать процедуры подбора карты.