Безопасность карточного бизнеса : бизнес-энциклопедия - А. Алексанов
Шрифт:
Интервал:
Закладка:
Глава 5
Обеспечение безопасности процессингового центра
Физическая безопасность бюро персонализации
Прежде всего следует оговорить такой существенный вопрос, как разделение понятия «услуги процессинга операций по картам» (маршрутизация, авторизация и клиринг) и собственно «персонализация карт». Как правило, все независимые процессоры (в терминологии международных платежных систем MSP, member service provider) предлагают целый пакет услуг, включающий как процессинг, так и персонализацию. Однако требования международных платежных систем (МПС) в части физической безопасности относятся именно к бюро персонализации (БП).
Немаловажно отметить, что если банк-спонсор оказывает своим банкам-агентам (аффилиатам) спонсорские услуги, включающие персонализацию карт, к помещениям персонализации банка спонсора МПС предъявляют требования, аналогичные требованиям к независимым бюро персонализации, сертифицированным МПС.
Напомним, что всех вендоров, предоставляющих услуги, связанные с банковскими (пластиковыми) картами, можно разделить на следующие большие группы:
1) изготовители карт (Manufacturers);
2) бюро персонализации (БП или third-party personalizers, TPP);
3) провайдеры авторизации и клиринга или независимые процессоры (MSP, member service provider);
4) провайдеры хранения, маршрутизации и обработки данных (DSE, Data Storage Entity, PG — Payment Gateways,) и пр.
Определение внешнего периметраПрежде всего следует оговорить, что МПС осуществляют реальную проверку помещений бюро персонализации (БП), высылая специально обученных сотрудников для инспекции на месте. Обычно процедура занимает 2–3 рабочих дня, все расходы оплачивает само БП. Перед тем как вызывать проверяющих, необходимо направить в МПС план расположения БП и заполненный вопросник на английском языке. Вопросник включает такие сведения, как адрес БП, удаленность постов милиции (полиции) и пожарных, к нему прилагается план расположения (можно нарисованный от руки).
Согласно концепции МПС физическая безопасность БП разделяется на условные уровни, которые реализованы по принципу «матрешки»: для проникновения в святая святых БП — хранилище — необходимо последовательно пройти через все уровни. Это следующие объекты:
1) внешний периметр (забор или ограда);
2) вход в здание внутри внешнего периметра;
3) вход в помещения БП внутри здания;
4) вход в зону повышенной безопасности (high security area/zone, HSA/HSZ) в пределах БП;
5) вход в хранилище внутри HSZ/HSA.
Под внешним периметром обычно подразумевается забор, который должен быть внешней границей БП. Это требование особенно важно для вендоров, являющихся заводами — изготовителями пластика, имеющими у себя соответствующее оборудование и технологические линии именно по производству неэмбоссированного пластика. Поскольку заводы — изготовители пластика производят его в больших количествах, необходимо продумать логистику ввоза/вывоза готовых тиражей пластиковых карт (в том числе, неэмбоссированных) грузовыми автомобилями. В таких случаях необходимо наличие ворот, проходной, бюро пропусков именно на уровне внешнего периметра, а также зоны для загрузки и выгрузки крупногабаритных грузов (GTT, goods/tools trap).
Допускается, что внешним периметром БП является само здание. В таких случаях количество уровней безопасности сокращается с 5 до 4 (отсутствует первый, внешняя ограда).
Забор или стена внешнего периметра должны быть минимум 2 м высотой. Ворота, ведущие внутрь территории БП, должны контролироваться и управляться из помещения управления безопасностью (SCR, security control room, далее — Мониторная).
Ворота внешнего периметра должны быть постоянно закрыты полностью, исключая время впуска/выпуска автомобилей. Внешняя стена здания может считаться периметром, если она препятствует несанкционированному проникновению внутрь.
Необходимо вести письменную регистрацию событий, связанных с отключением сигнализации, отражая дату, время, сотрудников, которым необходим доступ, и цели получения доступа к оборудованию.
Контейнеры, находящиеся на территории БП и содержащие отходы (включая уничтоженные пластиковые карты), должны располагаться на охраняемой и защищенной от посторонних территории, гарантируя невозможность несанкционированного доступа к их содержимому.
Все точки входа на территорию БП должны быть обрудованы:
• системой контроля доступа (кард-ридер или биометрия), автоматически активирующей запирающий механизм дверей
• системой прохода mantrap («ловушка») со взаимно блокирующимися дверьми, обеспечивающей проход строго по принципу «один за одним» (one by one) для посетителей.
Требования к зданию БПЗдание БП должно располагаться в районе, обслуживаемом органами общественной и пожарной безопасности, причем время реагирования должно быть практически мгновенным. БП должно быть также оборудовано системой обнаружения вторжения. Система обнаружения вторжения должна быть оборудована резервным источником питания, гарантирующим работу минимум 48 часов в случае отказа основного питания.
Все внешние точки входа/выхода на территорию БП, включая грузовые и служебные, должны быть оборудованы смотровым глазком, бронированным стеклом или внешней камерой наблюдения, позволяющими сотрудникам охраны визуально контролировать прилегающие территории.
Все внешние входные и выходные двери здания БП, включая запасные, должны быть:
• оснащены системой датчиков, соединенных с сигнализацией;
• постоянно заперты или контролируемы электронным способом;
• усилены, где это возможно, для предотвращения вторжения (стальным листом или материалом эквивалентной прочности, в соответствии с местными требованиями по пожарной и гражданской безопасности).
Все точки доступа в здание с крыши должны быть закрыты на замок или иным образом и постоянно управляться изнутри, за исключением случаев проведения необходимых технических работ. Все точки входа/выхода c крыши должны быть оборудованы контактными датчиками с контролем доступа.
Любые окна (потолочный свет), люки, каналы вентиляции и системы охлаждения, имеющие выходы за пределы здания, должны быть заварены металлической решеткой, сеткой или металлическими перегородками, делающими невозможным несанкционированное проникновение внутрь.
Обозначения и вывески на здании не должны явно или скрытно обозначать, что в нем находится центр персонализации, а также что в нем обрабатываются конфиденциальные данные или есть иная связь с пластиковыми картами.