<< Предыдущая

стр. 55
(из 71 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

производителей термин "бэк-офис" подразумевает систему управления жизненным циклом карты и
расчетов с контрагентами. Начисление процентов, реализация кредитных схем - это прерогатива
банковского ритейла. В продуктах отечественных вендоров, как правило, бэк-офис выполняет также
функции банковской розницы.
Безусловно, объем данной главы не позволяет остановиться на описаниях отдельных продуктов,
поэтому заинтересованные читатели без труда найдут необходимую информацию на сайтах
производителей.
Рассмотрим, каким факторам необходимо уделить внимание при подготовке тендерной
документации для выбора программно-аппаратной платформы процессиигового центра (табл. 5).

Таблица 5

-----------------T------------------------------------------------------¬
¦ Фактор ¦ Критерии ¦
+----------------+------------------------------------------------------+
¦ 1 ¦ 2 ¦
+----------------+------------------------------------------------------+
¦Апробированность¦Количество инсталляций. ¦
¦ ¦Положительный опыт эксплуатации продукта в других¦
¦ ¦финансовых институтах. ¦
¦ ¦Сопоставимость характеристик бизнеса (объем эмиссии,¦
¦ ¦продуктовый ряд, терминальное оборудование и т.п.) с¦
¦ ¦задачами банка ¦
+----------------+------------------------------------------------------+
¦Соответствие ¦Поддержка стандартов международных платежных систем в¦
¦стандартам ¦части процедур, форматов и протоколов. ¦
¦ ¦Поддержка индустриальных стандартов и протоколов¦
¦ ¦подключения терминального оборудования ¦
+----------------+------------------------------------------------------+
¦Масштабируемость¦Наличие запаса по производительности для обеспечения¦
¦ ¦требований растущего бизнеса. ¦
¦ ¦Возможность наращивания производительности без¦
¦ ¦изменения архитектуры системы. ¦
¦ ¦Зависимость изменения производительности системы от¦
¦ ¦изменения числа и характеристик аппаратных компонентов¦
¦ ¦системы (контроллеров, процессоров, модулей¦
¦ ¦криптографии и т.п.) ¦
+----------------+------------------------------------------------------+
¦Надежность ¦Коэффициент готовности программно-аппаратного¦
¦ ¦комплекса. ¦
¦ ¦Соответствие решения заявленным производителям¦
¦ ¦характеристикам. ¦
¦ ¦Устойчивость программно-аппаратной платформы и¦
¦ ¦архитектуры системы к единичным отказам. ¦
¦ ¦Предсказуемость поведения системы в условиях высоких¦
¦ ¦нагрузок. ¦
¦ ¦Время восстановления системы после единичного сбоя и¦
¦ ¦полного отказа ¦
+----------------+------------------------------------------------------+
¦Безопасность ¦Поддержка стандартов и рекомендаций платежных систем в¦
¦ ¦области безопасности. ¦
¦ ¦Поддержка требований международных и отраслевых¦
¦ ¦стандартов в области защиты информации (защита от¦
¦ ¦несанкционированного доступа к системе, устойчивость¦
¦ ¦аппаратных и программных компонентов системы к внешним¦
¦ ¦воздействиям, средства разграничения доступа и¦
¦ ¦ответственности, идентификация/аутентификация,¦
¦ ¦технические средства аудита и регистрации событий в¦
¦ ¦системе, контроль целостности системы и данных и т.п.)¦
+----------------+------------------------------------------------------+
¦Функциональность¦Возможность поддержки терминального оборудования¦
¦ ¦различных производителей. ¦
¦ ¦Набор поддерживаемых коммуникационных протоколов. ¦
¦ ¦Поддерживаемый набор транзакций. ¦
¦ ¦Поддерживаемый набор продуктов. ¦
¦ ¦Поддерживаемый набор методов авторизации и¦
¦ ¦маршрутизации транзакций. ¦
¦ ¦Возможность поддержки полного жизненного¦
¦ ¦(производственного) цикла для карточных продуктов ¦
+----------------+------------------------------------------------------+
¦Управляемость ¦Наличие эффективных средств конфигурирования,¦
¦ ¦управления и контроля ¦
+----------------+------------------------------------------------------+
¦Качество ¦Наличие круглосуточной поддержки вендором. ¦
¦сопровождения ¦Наличие качественной документации продукта. ¦
¦ ¦Наличие возможности обучения персонала ¦
+----------------+------------------------------------------------------+
¦Развиваемость ¦Сопровождение системы разработчиком, своевременная¦
¦ ¦реализация требований и стандартов платежных систем и¦
¦ ¦законодательства. ¦
¦ ¦Возможность развития архитектуры и функционала системы¦
¦ ¦для реализации новых продуктов, каналов доставки и¦
¦ ¦технологий ¦
+----------------+------------------------------------------------------+
¦Риски ¦Ресурсы, сроки, бюджет. ¦
¦ ¦Устойчивость бизнеса контрагентов. ¦
¦ ¦Наличие поддержки производителя на территории страны¦
¦ ¦инсталляции ¦
L----------------+-------------------------------------------------------

Необходимым этапом является создание констатирующего документа, отражающего концепцию
развития карточного проекта в масштабах банка в целом и процессинговой системы в частности.
Документ должен:
- определить цель и масштабы проекта, обозначить его функциональность (поддерживаемый
продуктовый ряд, функции, выполняемые процессинговым центром для поддержки эмиссии/эквайринга,
список функциональных требований к прикладному программному обеспечению и т.п.);
- констатировать текущее состояние дел по результатам системного обследования
(выпускаемые продукты, используемые решения, наличие квалифицированного персонала,
существующие ограничения, используемые помещения, коммуникационные ресурсы и т.п.);
- перечислить крупные задачи проекта (инсталляция, запуск персонализации, эмиссия,
эквайринг, интеграция с банковской системой, подключение и сертификация интерфейсов к платежным
системам);
- обозначить ограничения, при которых задачи будут решаться (необходимость
обучения/привлечения персонала, ограничения на используемые аппаратные и коммуникационные
платформы, требования по производительности и масштабированию системы);
- указать сроки решения этих задач и исполняющие их подразделения;
- определить необходимые затраты и возможные риски.

Безопасность процессинговых центров

Одним из наиболее важных практических аспектов функционирования процессингового центра
банка является обеспечение его безопасности. В отличие от обычных информационных систем
процессинговый центр банка содержит информацию о реквизитах, позволяющих получить доступ к
деньгам клиентов, и компрометация этих данных может привести к значительным финансовым потерям.
Вот почему существенная доля затрат при создании и функционировании процессинга связана с
расходами на обеспечение безопасности.
Рассмотрим некоторые аспекты безопасности процессинговых центров.

Транзакционная безопасность

Комплекс мер, направленных на обеспечение целостности информационного обмена между
хостами и устройствами, предотвращение фальсификации данных и невозможности получения ПИН-
кодов из данных транзакций. Технически обеспечивается использованием многоступенчатой системы
ключей для шифрования ПИН-блоков (одноразовые сессионные ключи устройств, транспортные ключи
для интерфейсов), применением МАС-кодов*(158) для подтверждения целостности сообщений,
использованием аппаратных средств HSM*(159) для хранения ключевой информации и выполнения
операций трансляции и проверки ПИН-кодов. Важное значение имеет также проверка соответствия
данных транзакции данным магнитной полосы карты, а также данным, находящимся в базе данных
процессинга, - это позволяет отсекать процедуры подбора карты. К организационным мерам относится
наличие регламента управления ключами (Key Management), а также регламентация процедур хранения
и доступа к данным в процессинговом центре.

Управление рисками

Технически заключается в использовании программно-аппаратных средств, позволяющих
анализировать авторизационный траффик, базу данных с историей транзакций и сообщениями
претензионного цикла и на основе правил (rule-based) или нейронных сетей детектировать различного
рода атаки и вероятные мошенничества. К организационно-техническим средствам можно отнести
интерфейсы с базами данных международных платежных систем, содержащих информацию о случаях
мошенничества и недобросовестной деловой практики, например System to Avoid Fraud Effectively
(SAFE), Member Alert to Control High-Risk (MATCH), National Merchant Alert System (NMAS).

Организационно-техническая безопасность

Подразумевает наличие службы офицеров безопасности (security officers), наличие и исполнение
регламента работы с ключевой информацией. В информационной системе процессингового центра
должны использоваться средства аутентификации, разграничения доступа и аудита. В помещениях и
технических зонах должны быть использованы средства контроля доступа (СКД), в зонах особого
режима - технические средства охраны и видеонаблюдения. Особое значение для бесперебойной
работы процессингового центра имеет культура разработки и сопровождения программного
обеспечения. Обязательным правилом должно быть наличие раздельных сред разработки,
тестирования и эксплуатации приложений, при этом среда эксплуатации должна быть выделена в
отдельный программно-аппаратный комплекс. Все новые программные и технические средства должны
предварительно проходить тестирование в специально выделенных средах. Желательно также, чтобы
разработкой и сопровождением системы занимались отдельные подразделения процессингового
центра.

Безопасность процедур персонализации

Безопасность процедур персонализации должна обеспечиваться еще на стадии проектирования
центра, исходя из требований последующей сертификации в международных платежных системах. В
частности, планировка и конструкция помещений должны предусматривать ряд зон (производственная
зона, зона приема-передачи, зона печати ПИН-конвертов, зона хранения и т.п.), оборудованных
техническими средствами ограничения доступа, мониторинга и аудита. Особое внимание также должно
быть уделено подбору персонала.

Процессинговый центр компании UCS и его возможности

ЗАО "Компания объединенных кредитных карточек" (DCS) (www.ucscard.ru) располагает одним из
крупнейших в России процессинговых центров, процессирующим по различным оценкам от 35 до 60%
оборота в различных сегментах рынка пластиковых карт. Мощности процессингового центра
расположены на нескольких территориально-распределенных технологических площадках.
Компания является сертифицированным провайдером услуг по обеспечению выпуска и
обслуживания пластиковых карт международных платежных систем Visa International (официальный
статус ТРР) и MasterCard (официальный статус MSP). Центр обработки данных компании построен с
соблюдением всех индустриальных стандартов и располагает мощным, высокотехнологичным и
современным процессингом на базе программного обеспечения ведущих мировых вендоров (OpenWay
Systems, ACI), предлагая банкам полный комплекс процессинговых услуг по поддержке эмиссии
банковских карт как международных платежных систем, так и любых локальных карточных проектов.
В настоящее время процессинговый центр компании предлагает банкам следующие услуги:
персонализацию банковских карт с микропроцессором (VSDC) и магнитной полосой, генерацию
ПИН-кодов и печать ПИН-конвертов. Компания располагает современным оборудованием компании
DataCard (модельный ряд от DC280 до DC9000) для персонализации карт международных и локальных
платежных систем, а также различных видов клубных и дисконтных карт. Возможности
персонализационного оборудования позволяют осуществлять нанесение фотографий и логотипов, а
также выполнять все требования международных платежных систем в области персонализации.
Персонализационное бюро компании неоднократно проходило аудит международных платежных систем
с минимальными замечаниями;
ведение баз данных по картам, авторизациям, транзакциям - программное обеспечение,
установленное в DCS, позволяет открывать и вести счета карт в любой валюте (рубли, доллары, евро и
т.п.). Любой банковский карточный продукт настраивается таким образом, что при любой авторизации, а
впоследствии и при оплате, учитывается комиссия банка, взимаемая с держателя карты за данную
операцию. Банковские комиссии могут устанавливаться в валюте, отличной от валюты счета карты. При
авторизации или оплате операции произойдет автоматическая конвертация комиссии банка в валюту
счета карты по курсу, установленному банком на день совершения операции, что позволит блокировать
при авторизации на счете карты достаточно денежных средств для оплаты самой операции и взимаемой
банком комиссии;
защищенный документооборот с использованием криптосистемы "Верба OW" - позволяет банкам
отправлять в DCS распоряжения на выполнение операций по своим картам, а также получать
подтверждения об их исполнении и пакет отчетов по итогу операционного дня;
систему подготовки отчетности, которая позволяет формировать по итогам операционного дня
пакет отчетов по операциям с использованием карт и устройств банка, а также операциям, прошедшим
через клиринговые файлы международных платежных систем. Возможности системы позволяют
осуществлять настройку индивидуальных схем отчетности для процессируемых банков;
обработку клиринговых файлов международных платежных систем - формирование и отправка
исходящих клиринговых файлов МПС производится по результатам операционного дня, обработка
входящих файлов - по мере получения согласно используемым технологическим схемам;
подключение и мониторинг банкоматов - процессинговый центр DCS позволяет осуществлять
подключение и мониторинг банкоматов Diebold, Wincor Nixdorf и NCR с использованием
коммуникационных протоколов Х25 и TCP/IP. Набор операций, доступных держателю карты в
банкоматах, постоянно расширяется;
подключение POS-терминалов и кассовых серверов предприятий торговли и сервиса.
Колоссальный опыт, накопленный компанией - крупнейшим эквайрером, позволяет осуществлять
подключение терминального оборудования ведущих производителей (Ven'Fone, Hypercom, Bull, Lipman и
т.п.) и кассовых серверов большинства присутствующих на рынке поставщиков с реализацией
стандартной (покупка, выдача наличных, выписка) и нестандартной (оформление и погашение кредитов,
оплата услуг сотовых операторов) функциональности;
круглосуточную службу клиентской поддержки, что позволяет держателям карт получать сервис
по схеме 24 часа 7 дней в неделю 365 дней в году. Используя кодовое слово, клиент имеет возможность
получить информацию о доступном лимите, информацию о текущих транзакциях и авторизациях по
карте, осуществить блокировку карты в базе данных компании;
многопользовательскую систему удаленного доступа к базе данных процессингового центра, что
позволяет банкам в режиме реального времени получать информацию по картам о доступных лимитах,
совершенных авторизациях, оплаченных транзакциях, управлять доступными лимитами по картам
(осуществлять уменьшение/увеличение лимитов, снимать авторизации), выставлять ограничения на
совершение тех или иных операций по картам, осуществлять блокировку/разблокировку карт, вести
претензионную работу, осуществлять мониторинг и управление работой банкоматов банка,
самостоятельно управлять подключением/отключением к услуге по отправке SMS-нотификаций на
мобильные телефоны держателей карт, а также осуществлять целый ряд других возможностей по
управлению базой данных карт, транзакций и устройств по согласованию с компанией-процессором. В
отличие от предлагаемых на рынке подобных услуг технология, используемая компанией DCS,
предоставляет банку возможность "видеть" базу данных карт/устройств банка так же, как ее видят в
компании. Таким образом, предлагаемое компанией решение при минимальных финансовых затратах
максимально приближает банк к функциональности собственного процессингового центра;
отправку SMS-сообщений на мобильные телефоны основных сотовых операторов по факту
совершения авторизации по карте - это еще одна современная услуга, предлагаемая процессинговым
центром DCS.
Сотрудничество с компанией DCS позволяет банкам быстро и эффективно реализовать
пластиковые проекты на высоком качественном уровне в силу следующих факторов:
- наличие сертификации международными платежными системами на поддержку практически
полного продуктового ряда Visa и MasterCard;
- прохождение ежегодного аудита международными платежными системами на соответствие
правилам организации процесса выпуска и обслуживания карт, что свидетельствует о высоком уровне
безопасности и правильности построения данного технологического процесса;
- быстрое подключение к технологическим решениям, которые уже опробованы и используются в
компании, позволит банку предложить своим клиентам широкий спектр услуг;
- наличие в компании DCS круглосуточной службы поддержки держателей банковских карт;
- использование знания и опыта высококвалифицированных специалистов компании позволит
быстро решать возникающие перед банком нестандартные задачи;
- предлагаемые процессинговой компанией технологические решения взаимодействия позволят
банку при минимальных затратах денежных средств получить функционал, сравнимый с возможностями
собственного процессингового центра;
- разумная тарифная политика компании позволит банку более прозрачно понимать структуру
текущих и будущих расходов на поддержание процесса выпуска и обслуживания карт и, как следствие,
более эффективно управлять расходными статьями;
- постоянно обновляемый и расширяемый спектр предлагаемых банкам услуг позволяет банкам
получать доступ к последним достижениям в отрасли с минимальными инвестиционными затратами.
Использование аутсорсинговых возможностей крупнейшего процессора в отрасли - надежный
путь для банков к реализации эффективных и безопасных карточных программ.
Карты в здравоохранении

Машиночитаемые пластиковые (с магнитной полосой, штрих-кодом, оптические и электронные -
с микросхемами памяти и микропроцессорные) карты пациентов и медицинского персонала являются
важным элементом современных информационных технологий в учреждениях здравоохранения. Так,
миллионы москвичей уже получили от Московского городского фонда обязательного медицинского
страхования эмбоссированные пластиковые карты со штрих-кодом (рис. 1).




<< Предыдущая

стр. 55
(из 71 стр.)

ОГЛАВЛЕНИЕ

Следующая >>