<< Предыдущая

стр. 17
(из 71 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

успеха проекта.
Банк рискует, замыкая свои расчеты с платежной системой на третью сторону, но не следует
забывать, что эта третья сторона несет полную финансовую ответственность за банк перед платежной
системой, следовательно, будет стремиться минимизировать свои риски и максимально застраховать
себя. Пытаясь уменьшить остатки на корреспондентских счетах в банке-спонсоре, банк должен отдавать
себе отчет о возможности возникновения негативных последствий для себя и своих клиентов, которые
могут крыться в кажущемся успехе: необходимость жестко отслеживать и своевременно пополнять
корреспондентский счет и бескомпромиссная реакция партнера на ошибки банка, а как следствие - все
те же проблемы с расчетами у клиентов банка.
Увлекаясь минимизацией платежей в пользу партнера, не надо забывать о том, что банк, его
нужды и интересы встретят должное понимание и поддержку спонсора тогда и только тогда, когда
спонсор будет видеть для себя бизнес в работе с этим банком. Наличие бизнес-составляющей во
взаимодействии с банком-спонсором - надежный залог того, что не возникнут конфликты из-за клиентов.
Если банк-спонсор достаточно хорошо зарабатывает на каждом клиенте и понимает, что затраты на то,
чтобы сделать этого клиента своим, будут сопоставимы с той выгодой, которую он приобретет от
"обращения" клиента, конфликт будет исчерпан, даже не начавшись. Отсюда вывод: договариваясь с
банком-спонсором, надо строить отношения таким образом, чтобы клиент банка был для спонсора своим
клиентом, без необходимости претворять данный тезис в жизнь в прямом смысле.
Часто от банков в процессе переговоров можно услышать: "Мы открываем проект, дайте нам
возможность его развить с минимальными затратами, и тогда будет отдача и для вас". Банку следует
четко понимать, что для банка-спонсора спонсорство - это бизнес, следовательно, деятельность в этой
сфере должна давать незамедлительный эффект. Для банка, вступающего в международную платежную
систему при спонсорстве, вхождение в карточный бизнес может носить элемент венчурности, но не для
банка-спонсора. Поэтому, прибегая на переговорах к обещаниям скорого и успешного развития,
необходимо отдавать себе полный отчет, что для того, чтобы данный тезис был воспринят и банк-
спонсор вместе с банком авансировал свои средства в данный проект, банк должен гарантировать
обещанное развитие и компенсировать спонсору отказ от получения ожидаемых доходов с момента
вхождения спонсора в данный проект.
Предъявляя к спонсору требования по обеспечению той или иной "новомодной" карточной
функциональности, банку следует быть готовым к отсутствию этого обеспечения или готовности к его
реализации банком-спонсором за отдельную достаточно ощутимую плату. Возможно, это вызвано не
технической отсталостью банка-спонсора и/или его желанием получить дополнительную прибыль, а
устоявшимся у банка-спонсора ожиданием отсутствия экономического эффекта от внедрения той или
иной услуги. Крупные банки в своем развитии руководствуются жесткими планами и определяют
стратегию и приоритеты. Часто стратегическое планирование основывается не только на экспертных
оценках, но и на дорогостоящих исследованиях рынка, которые показывают, что те или иные услуги,
"распиаренные" журналистами и маркетологами, на деле пользуются спросом только у узкого круга
клиентов, и цена, которую такие клиенты готовы платить, не окупает даже текущей поддержки, не говоря
уже о первоначальных вложениях. Банк должен постараться выяснить, почему та или иная
интересующая его услуга до сих пор не реализована и когда банк-спонсор планирует ее реализовать.
Итак, выбор сделан, контракт на вступление с банком-спонсором подписан, банки устанавливают
корреспондентские отношения, и можно двигаться вперед. Теперь комплекс задач, которые предстоит
решить, сводится к мероприятиям, носящим технический характер. Большинство банков, которых могут
порекомендовать платежные системы, уже в течение нескольких лет успешно развивают спонсорские
программы, а следовательно, знают все или почти все подводные камни, с которыми может столкнуться
неофит, вступающий в международную платежную систему. В этом смысле опыт спонсора и его
готовность делиться знаниями и оказывать необходимую помощь являются залогом успеха проекта
банка.
Первый шаг состоит из трех параллельных процессов:
а) подготовки пакета вступительных документов международных платежных систем. Перечень
документов предоставляется банком-спонсором и включает в себя его отчетность, бизнес-планы по
выпуску карт, созданию инфраструктуры по их обслуживанию и типовые договоры платежных систем;
б) выбора программного обеспечения, которое будет взаимодействовать с программным
комплексом процессингового центра банка-спонсора. Некоторые спонсоры рекомендуют базовое
программное обеспечение собственной разработки, отвечающее элементарным требованиям банка с
точки зрения ведения счетов, бухгалтерского оформления операций и подготовки необходимой
отчетности. Данное "коробочное" решение чаще всего запрограммировано на взаимодействие с
процессингом банка-спонсора и требует от банка интеграции с собственной банковской системой. Другие
спонсоры, наоборот, предоставляет полную свободу выбора с точки зрения банковского программного
обеспечения, выдвигая только требование поддержки информационного обмена в форматах,
предоставляемых процессингом. И в первом, и во втором случаях следует незамедлительно начинать
работы по установке, наладке и тестированию программ, т.к. это одна из наиболее трудоемких задач
любого карточного проекта, без решения которой невозможен его успешный запуск;
в) разработки дизайна карт банка и выбора производителя пластика. Казалось бы, простая
задача, но на деле зачастую грозит простоями и потерей темпа. Следует помнить, что срок изготовления
карт может составлять 7-9 недель с момента получения банком идентификаторов в платежной системе.
Если к этому моменту банк еще не представляет, как будет выглядеть его пластик, он может столкнуться
еще с одним узким местом проекта, которое сведет на нет все его усилия, усилия спонсора и платежной
системы по запуску проекта в оптимальные сроки. Единственный совет, который можно дать малому и
среднему банку, разрабатывающему дизайн собственных международных карт: постараться сделать
так, чтобы логотип банка не терялся на красочном и привлекательном дизайне.
"Рисунок. Примерный план-график реализации проекта"

Услуги по изготовлению банковских карт международных платежных систем сегодня
предоставляют как минимум два российских производителя и целый ряд зарубежных. Список их
публикуется в специальных изданиях и может быть предоставлен банком-спонсором. Российские
производители изготавливают карты немного быстрее (на 1-2 недели) и немного дешевле. Но если
дизайн сложный, требующий специальных материалов, и банк готов заплатить за это, то имеет смысл
обращаться к зарубежным производителям. Цена пластика, как и любых других печатных материалов,
во многом зависит от тиража и количества цветов.
В течение 2-4 недель платежная система будет рассматривать документы банка. Если его
отчетность убедит платежную систему в надежности банка и/или бизнес-план покажется перспективным
(платежная система - такой же партнер в проекте, как и банк-спонсор, и тоже должна быть
заинтересована в совместном бизнесе), первый этап пройден и можно принимать поздравления - банк
стал участником международной платежной системы и получил права на использование наиболее
широко известных и узнаваемых брэндов в мире. Логическим завершением этого этапа являются
подписание платежной системой лицензионных соглашений и выставление счетов на оплату
лицензионных платежей и членских взносов.
Банк не должен медлить с их оплатой! Здесь, как и во многих других случаях, действует золотое
правило, сформулированное И. Ильфом и Е. Петровым: "утром деньги - вечером стулья".
Своевременная оплата гарантирует банку своевременное получение идентификаторов, а они -
фундамент будущей сертификации банка в платежной системе. Идентификаторы (мы абстрагируемся от
специфики каждой платежной системы, с тем чтобы создать четкое понимание базовых моментов
проекта, а разъяснение конкретных деталей предоставить банку-спонсору) - банковские
идентификационные номера (БИН) предоставляются на основании заявок - стандартных форм,
заполняемых банком.
К моменту получения от платежных систем БИНов банк должен иметь готовый дизайн,
заключенный контракт с производителем пластика, а сотрудники подразделения, отвечающего за
информационные технологии в банке, должны установить бэк-офисную программу и начинать
тестирование файлового обмена, по крайней мере, в части заявок на изготовление карт. Если это так,
значит, банк двигается хорошими темпами, а у его клиентов есть шанс стать обладателями карт банка
уже через пару месяцев.
Следующий шаг - заказ проекта в платежных системах, заполнение параметризационных
документов.
Когда получены БИНы и оплачены все счета, банк может приступать к главной технической части
проекта - сертификации в платежной системе. Собственно сертификацию проходит процессинговый
центр банка-спонсора, который должен адекватным образом настроить свою систему и протестировать
ее с маршрутизационным ядром международной платежной системы, чтобы увериться в том, что все
необходимые сообщения проходят, а следовательно, операции совершаются надлежащим образом и
система корректно реагирует на запросы клиента. Но для того, чтобы переложить работы на плечи
процессора, необходимо заполнить целый ряд параметризационных документов. Для банка это
достаточно сложная работа, фактически платежная система требует от банка информации о том, какие
настройки должны быть в ее программном обеспечении, которого, естественно, банк никогда не видел.
Многие банки заполняют данные формы по принципу "главное начать работу, а потом исправим". Это
абсолютно неверный подход. Со временем проблемы с настройками забываются, уходят на второй план
на фоне текущей работы с держателями карт, в результате страдают держатели, а банк теряет доходы.
Поэтому лучше отнестись к данной работе со всей ответственностью. Серьезную помощь должен
оказать банк-спонсор и/или его процессор, при этом банку все равно придется заполнять формы
самостоятельно, а помощь партнеров заключается в разъяснении смысла той или иной позиции
вопросников. Копии параметризационных документов необходимо сохранять и время от времени
пересматривать. Данные документы полезны и с той точки зрения, что иногда смогут помочь ответить на
те или иные вопросы и решить проблемы, которые возникнут в текущей работе у банка и его клиентов.
Отдельный важный этап при вступлении банков в Visa - заказ криптографических ключей. На
него также следует обратить особое внимание. Банку лучше заказать отдельные ключи, т.к. это даст
дополнительную степень свободы. Если банк решит сменить спонсора, то наличие собственных ключей
позволит мигрировать, не перевыпуская карты, т.е. практически не затрагивая держателей. Заказ
компонент криптографических ключей, их ввод в криптографические модули должны осуществляться с
соблюдением всех требований безопасности.
После выполнения всех описанных выше процедур, т.е. конфигурации проекта в платежных
системах, ввода компонент и генерации ключей в процессинге, становится возможным получение
тестовых карт, которые банк или его спонсор отправляют в платежную систему на сертификацию. Для
Visa на этом этапе возможно использовать белый пластик. При этом крайне желательно, чтобы к
моменту завершения тестов банк получил готовый и согласованный с платежной системой тираж,
изготовил тестовый пластик на "живых" заготовках, чтобы, не задерживаясь, переправить его в
платежную систему.
Дальнейшее становится уже достаточно рутинным: если выбор был правильным, банк-спонсор и
его процессинг имеют достаточный опыт в реализации подобных проектов, в течение 2-4 недель банку
следует ожидать успешного исхода сертификации и назначения "даты начала операций" (Live Date). К
сожалению, эта дата не всегда полностью зависит от банка-спонсора, есть еще одна сторона, которая
влияет на процесс, - производитель пластика. Если по тем или иным причинам поставка пластика
задерживается, то это может повлиять на Live Date вне зависимости от исхода прочих
сертификационных работ. Банк, вступающий в Visa, не сможет пройти сертификацию пластика, а банк,
вступающий в MasterCard, - провести сертификацию пластика и так называемую финальную
демонстрацию (End-To-End Demonstration).
При выполнении всех требований в рамках проекта дата начала операций назначается на дату,
отстоящую примерно на две недели от даты завершения сертификации. О дате начала операций
платежные системы уведомляют банк письмом. Если банк успешно прошел все описанные выше этапы,
то в указанную в письме платежной системы дату первая карта с логотипом банка и выбранной им
международной платежной системы увидит свет. Последний совет: банк должен опробовать первые
карты на себе, а не на своих самых уважаемых клиентах. В платежных системах существует
определенная инертность, из-за которой карта может быть не принята с обидной для банка
формулировкой: такого эмитента не существует. Причина - использование банком-эквайрером
необновленных таблиц БИНов. Проблема эта решится без участия банка в течение 1-3 недель, и далее
уже ничто не будет препятствовать использованию карт.

Стандарты безопасности международных платежных систем для расчетов через Интернет

С учетом все возрастающих объемов оплат покупок через сеть Интернет международными
платежными системами были разработаны и внедрены новые стандарты Visa 3D и MasterCard Secure
Code Program. С 1 апреля 2003 г. платежная система Visa обязала своих членов при осуществлении
эквайринга интернет-магазинов реализовать поддержку протокола 3D-Secure и получить статус Verified
by VISA (VbV) по эквайрингу.
Суть новой технологии состоит в том, что она делает более безопасными расчеты в сети. До
этого основные риски по мошенничеству нес банк-эквайрер, который на свой риск проводил (или не
проводил) платеж. Как только эквайрер реализует у себя протокол 3D-Secure, большинство рисков
начинает нести банк - эмитент карты. В этом случае при попытке использования пластика для расчета в
сети покупатель переадресовывается на сервер банка-эмитента, который и будет идентифицировать
владельца, решать, принимать его карту к оплате или нет. Таким образом, именно банк - эмитент карты
осуществляет проверку законности использования карты. Проверка может проводиться путем ввода
ответа на заранее известный эмитенту и держателю карты вопрос. По результатам проверки эмитентом
формируется специальный код, который пересылается эквайреру в качестве подтверждения законности
транзакции, причем все данные ответа подписываются секретным ключом эмитента, что делает
невозможным их изменение.
Технология построена таким образом, что держатель карты вводит данные пластиковой карты
непосредственно на сервере банка. Затем данные пересылаются эмитенту через закрытый домен Visa,
и платеж проводится только после подтверждения его законности от эмитента, что служит гарантией
защиты от несанкционированного использования карты как самим магазином, так и третьими лицами.
Соответственно уменьшается число тех претензионных платежей в интернет-магазинах, от которых
держатель карты отказывается - операций charge back и за которые эквайрер штрафовался. Это
позволяет платежной системе снизить материальную ответственность банков-эквайреров, которым, в
свою очередь, предоставляется возможность подключать интернет-магазины с большим оборотом на
более выгодных условиях.
Другой плюс новой технологии для банков-эквайреров состоит в том, что теперь они смогут на
безопасном уровне работать с электронными магазинами не только через специализированные
платежные системы, но и напрямую. В этом случае комиссия магазина полностью поступает банку-
эквайеру.
Новую технологию безопасности электронных платежей разработала не только Visa, но и
основной ее конкурент MasterCard. В своей программе MasterCard Secure Code Program компания
разрешает использование протокола 3D-Secure наряду с собственным протоколом UCAF. Следует
отметить, в отличие от Visa MasterCard пока не настаивает на том, чтобы банки переходили на новые
технологии. Система лишь рекомендовала переходить на них с 1 июля 2004 г., однако ввела
значительные штрафы за превышение показателей по платежам в Интернете, которые будут заявлены
клиентами как chargeback.
Внедрение новых технологий снимет один из основных барьеров развития интернет-коммерции:
обезопасит платежи, снизит бремя материальной ответственности банков-эквайреров, что, в свою
очередь, даст возможность подключать интернет-магазины с большим оборотом на более выгодных
условиях.
Практика банков, освоивших данную технологию, показывает, что расходы на сертификацию по
эквайрингу окупаются в пределах полугода.
Для лучшего понимания основных положений стандартов рассмотрим типичную
последовательность операций при проведении платежа.
При проведении электронного платежа картодержатель обычно совершает несколько
последовательных шагов:
1. Выбор товара (Shaping) - как правило, осуществляется на сервере электронного магазина. В
результате операций формируются "корзина покупателя" или "карта услуг".
2. Формирование счета (Checkout) - осуществляется с использованием информации "корзины
покупателя", а также дополнительных данных, которые покупатель предоставляет электронному
магазину (адрес, имя и т.д.). Магазины также могут применять методы регистрации покупателей,
информация о покупателе сохраняется на сервере магазина и в последующих случаях может быть
использована для подтверждения покупателем.
3. Оплата (Online Payment) - владелец карты осуществляет платеж путем указания данных карты
на специальной платежной странице.
Для проведения онлайн-платежа магазины могут использовать несколько решений:
собственное программное обеспечение - магазин имеет собственное программное обеспечение
для обмена данными с процессинговым центром и страницу для ввода клиентом данных своей карты. В
этом случае данные карты клиента могут сохраняться на сервере магазина;
использование программного обеспечения банка-эквайрера - в данном случае используется
платежный механизм, предоставляемый банком-эквайрером. Клиент использует платежную страницу
банка, которая уже содержит данные счета покупателя, предварительно переданные магазином;
использование программного обеспечения платежной системы - случай аналогичен
использованию программного обеспечения банка-эквайрера, но для платежа используется программное
обеспечение платежной системы, т.н. Payment Service Provider (PSP).
Для продвижения вперед программ электронной коммерции, компания Visa разработала
программу Secure e-Commerce Initiative. Основная цель программы - увеличение числа электронных
транзакций, обеспечение безопасности и увеличение числа участников электронной торговли.
Одной из частей данной программы является программа аутентификации платежей Visa
Authenticated Payment Program, которая осуществляет аутентификацию клиента в соответствии с
моделью 3D (Three Domain Model)
Протокол 3D-Secure был разработан компанией Visa в целях повышения безопасности платежей,
проводимых в сетях Интернет, и мобильной коммерции. 3D-Secure - это технология аутентификации
клиента, которая использует протокол SSL (Secure Sockets Layer) для защиты данных, передаваемых по
открытым каналам, и модуль Merchant Plug-in (MPI), который осуществляет:
- передачу данных между поставщиком услуг и участниками системы;
- защиту конфиденциальных данных картодержателя (номер карты и т.д.).
Протокол использует в сети Интернет структуру следующих трех доменов:
домен эмитента;
домен эквайрера;
общий домен.
Домен эмитента используется для обслуживания запросов картодержателей к сервису
аутентификации. Данный процесс включает в себя:
- идентификацию пользователя в процессе обращения к сервису (т.е. пользователь должен
ввести данные, которые однозначно определяют его в базе данных эмитента);




"Рис. 1. Аутентификация владельца карты в соответствии с моделью 3D"

- аутентификацию в процессе платежа, т.е. клиент должен подтвердить разрешение на
проведение платежной операции по своей карте путем ввода секретного кода (аутентификация может
быть проведена несколькими способами: ввод секретного кода, использование смарт-карты для
формирования криптограммы и т.д.).
Домен эквайрера используется для обслуживания торговых точек:
- обеспечивает процедуры для функционирования торговых точек в соответствии с протоколами,
установленными стандартом;
- осуществляет процессинг транзакций, прошедших аутентификацию.
Общий домен обеспечивает взаимодействие двух других доменов путем предоставления
средств передачи данных запросов и общих протоколов взаимодействия.
Порядок проведения платежей с использованием 3D-Secure начинается с регистрации клиента.
Регистрация клиента осуществляется эмитентом до начала проведения платежей в сети
Интернет. Процесс регистрации производится на сервере эмитента, где у клиента запрашивается
информация о данных его карты и секретных кодах, которые могут быть применимы для дальнейшей
аутентификации клиента в ходе платежа, так, в качестве секретного кода может быть использован
пароль, дополнительно может быть использован вопрос с заранее известным клиенту и эмитенту
ответом.
Сервер регистрации эмитента передает данные пользователя на сервер контроля доступа
Access Control Server (ACS). Каждый раз, когда пользователь производит платеж, сервер контроля
доступа осуществляет аутентификацию клиента для определения его участия в программе 3D-Secure.
Платежная транзакция (рис. 2) осуществляется в несколько этапов.
1. Клиент производит выбор товара и переходит на страницу оплаты, которая находится на

<< Предыдущая

стр. 17
(из 71 стр.)

ОГЛАВЛЕНИЕ

Следующая >>