Глава 18 Платежные карты
Глава 18
Платежные карты
Эмиссии карт международных платежных систем
Мы представим рекомендации по организации в банке программы эмиссии карт международных платежных систем MasterCard International, Visa International и Diners Club International для физических лиц, а также дадим рекомендации по порядку взаимодействия подразделений банка при оформлении и обслуживании платежных карт этих систем. Будут приведены рекомендации по работе с дебетовыми картами этих систем, о картах с разрешенным овердрафтом пойдет речь далее. В рамках эмиссии платежных карт в банке двумя основными взаимодействующими субъектами, участвующими в выполнении операций, являются карточное подразделение (в дальнейшем мы будем именовать его карточным центром) и учреждения банка (дополнительные офисы, филиалы, операционное подразделение головного офиса).
Учреждения банка осуществляют привлечение и непосредственное обслуживание держателей карт и отвечают за следующие направления:
— консультирование клиента;
— правильное и полное оформление пакета документов для оформления карты;
— осуществление идентификации клиента и первичного контроля представленных им документов;
— выдача изготовленных карт и ПИН-конвертов клиенту или его представителю;
— выполнение операций пополнения счета карты с формированием всех первичных документов;
— уведомление клиента о неразрешенном овердрафте и его урегулирование с клиентом.
Карточный центр ведет все карточные операции и отвечает за следующие направления:
— разработку новых карточных услуг и продуктов, а также карточных технологий;
— методологию карточного бизнеса;
— внесение дополнений и изменений во внутренние нормативные документы банка, касающиеся операций с платежными картами;
— координацию действий подразделений банка по обеспечению выпуска платежных карт и расчетов по картам;
— взаимодействие банка с карточными платежными системами;
— технологическое обеспечение выпуска карт и ведения операций с картами;
— обеспечение расчетов и бухгалтерского учета по операциям с картами;
— урегулирование претензий клиентов по операциям с картами;
— мониторинг и управление рисками карточной программы банка;
— подготовку и оформление отчетности банка, касающейся операций с картами.
Банки по-разному оценивают критерии риска при выдаче платежных карт физическим лицам. Ниже приведены некоторые из общих условий, согласно которым клиенту может быть выдана карта.
Основные карты могут быть выданы:
— физическому лицу — резиденту Российской Федерации, достигшему 18 лет, имеющему постоянное место работы (карты категорий Visa Electron, Maestro, Visa Classic, MasterCard Standard);
— физическому лицу, достигшему 14-летнего возраста (карты категории Visa Electron или Maestro).
При этом обращаем внимание, что в последнее время достаточно часто в банки обращаются студенты, пенсионеры, лица без постоянной работы с просьбой открыть банковские карты Visa Electron или Maestro. В дальнейшем указанные карты вместе с ПИН-кодами могут быть переданы неизвестным лицам, которые используют их для обналичивания денежных средств. В целях предотвращения указанных операций необходимо в процессе консультации клиента уточнить цель получения карты и в случае принятия положительного решения о ее выдаче произвести особенно тщательный мониторинг операций с этими картами.
Карты категорий Gold, Platinum, Diners Club и другие премиальные продукты часто выдаются или лицам, имеющим положительный опыт использования карт Visa Classic, MasterCard Standard, или VIP-клиентам.
Дополнительные карты могут быть выданы:
— лицу, достигшему 14-летнего возраста, по заявлению держателя основной карты (рекомендуется, чтобы держатель основной карты был родственником держателя дополнительной карты);
— лицу, достигшему 10-летнего возраста, при условии, что основным держателем выступает родитель (усыновитель, опекун).
Перед оформлением документов на выпуск карты клиент должен быть ознакомлен с условиями предоставления банком карт (текстом договора), а также тарифами банка.
В зависимости от внутренней политики банка могут различаться методики действий при приеме документов на выпуск карты. Например, можно осуществлять следующие процедуры идентификации клиента и проверки документов (производятся сотрудником учреждения, принимающим документы на выпуск карты).
1. Проверка личности клиента: сличение его внешнего вида с фотографией в документе, удостоверяющем личность.
2. Проверка документа, удостоверяющего личность, на предмет отсутствия видимых признаков подделки (более подробно процедура проверки документа описана в разделе «Минимизация рисков при работе с платежными картами»).
3. Проверка полноты заполнения всех позиций документов на оформление карты.
Пакет документов, принятый от клиента, пересылается в карточный центр. Для ускорения документооборота и процедуры оформления карт часто используются системы электронного документооборота. Документы с помощью специализированного программного комплекса или других средств электронного документооборота пересылаются в электронном виде, что позволяет сохранить конфиденциальность передаваемых сведений. При заведении информации о клиенте массив информации в электронном виде поступает в карточный центр, где производится ее проверка и принимается решение об оформлении банковской карты. В этом случае информация о клиенте проходит несколько этапов проверки, описанных далее, при рассмотрении путей минимизации рисков при работе с платежными картами. Рекомендуется, чтобы проверка документов клиентов проводилась независимо от того, являлись ли они когда-либо клиентами банка. В случае отказа в оформлении карт не рекомендуется объяснять клиенту причину отказа, чтобы он не мог откорректировать предоставляемые личные сведения при оформлении карты в другом банке.
При положительном решении о выпуске карты она персонализируется и доставляется в учреждение банка для выдачи клиенту. Доставка карт и ПИН-конвертов в учреждения банка осуществляется специализированной службой банка, часто для этого используют инкассаторскую службу. Ответственный сотрудник учреждения банка принимает карты и ПИН-конверты с обязательным пересчетом, а также визуальной проверкой правильности персонализации карт и целостности ПИН-конвертов. До выдачи клиенту карты и ПИН-конверты рекомендуется хранить в сейфе или металлических шкафах, к которым ограничен доступ сотрудников.
Основную карту может получить держатель — владелец счета либо его представитель, действующий на основании доверенности. Дополнительная карта может быть выдана держателю дополнительной карты или его представителю, действующему на основании доверенности, а также держателю основной карты.
При выдаче карты клиенту можно придерживаться следующей последовательности действий:
— предложить клиенту проверить целостность ПИН-конверта;
— сверить фамилию и имя, указанные на лицевой стороне карты, с фамилией и именем в документе, удостоверяющем личность держателя, обратив внимание на фотографию держателя и срок действия документа;
— при выдаче карты и ПИН-конверта держателю карты предложить расписаться шариковой ручкой на оборотной стороне карты на панели для подписи;
— при выдаче карты и ПИН-конверта доверенному лицу держателя основной или дополнительной карты или выдаче дополнительной карты держателю основной карты предупредить получателя, что держатель карты должен расписаться на полосе для подписи на оборотной стороне карты.
Карты и ПИН-конверты, невостребованные в течение срока, установленного банком, рекомендуется уничтожить в присутствии комиссии, сформированной из сотрудников банка, и составить акт об уничтожении карт.
Перевыпуск платежных карт. Часто разделяют очередной перевыпуск (продление срока действия карты) и досрочный перевыпуск платежных карт.
1. Очередной перевыпуск (продление срока действия карт). Осуществляется в связи с истечением срока действия карты. Продление срока действия карты обычно производится за некоторое время до истечения ее срока действия, чтобы обеспечить клиенту бесперебойное обслуживание. Естественно, перевыпуск осуществляется при отсутствии со стороны банка претензий к держателю карты или заявления клиента о закрытии карты. Для оптимизации логистики перемещения карт перевыпущенную карту рекомендуется передавать в учреждение банка в соответствии с порядком, предусмотренным для передачи вновь выпускаемых карт.
Рекомендуемый документооборот при оформлении продления срока действия карты:
— при получении перевыпущенной карты держатель оформляет пакет документов о продлении срока ее действия;
— при сдаче держателем карты с истекшим сроком действия сотрудник учреждения банка в присутствии держателя надрезает ее; карта разрезается через магнитную полосу, голограмму (при наличии) и номер, остается неразрезанным около 1 см края карты;
— сданные карты уничтожаются в присутствии комиссии, сформированной из сотрудников банка, и составляется акт об уничтожении карт.
2. Досрочный перевыпуск. Держатель карты может обратиться в банк с просьбой досрочно перевыпустить карту в связи с одной из указанных ниже причин:
— изменением фамилии;
— механическим повреждением карты;
— дефектом магнитной полосы;
— утратой ПИН-карты;
— обнаруженным после вскрытия ПИН-конверта дефектом печати ПИН-кода;
— утратой (кражой) карты;
— подозрением на компрометацию карты;
— изъятием при проведении операции (карта изъята банкоматом или кассиром).
Рекомендуемый документооборот при досрочном перевыпуске карты:
— держатель карты оформляет в учреждении банка пакет документов для перевыпуска карты;
— в свою очередь сотрудник учреждения банка:
проверяет правильность оформления документов о перевыпуске карты,
в присутствии держателя надрезает сдаваемую карту (при ее наличии) через магнитную полосу, голограмму (при наличии) и номер, оставляя неразрезанным около 1 см края карты;
— сданные карты уничтожаются в присутствии комиссии из сотрудников банка, и составляется акт об уничтожении карт.
Разрешение спорных ситуаций и завершение обслуживания карты. Для урегулирования претензий клиент обращается в обслуживающий его банк и при необходимости оформляет заявление с просьбой провести претензионную работу. В заявлении подробно описываются содержание претензии, ситуация, при которой произошла оспариваемая операция, а также дата и место ее совершения. Клиент указывает, передавалась ли карта и (или) ПИН-код третьим лицам, была ли украдена (утеряна) карта, а также прикладывает к заявлению чеки и (или) другие документы, относящиеся к спорной операции или дополняющие содержание претензии.
При обнаружении утери либо хищении карты держатель незамедлительно уведомляет банк о случившемся факте для блокировки карты. Банк также может по своей инициативе заблокировать карту или заявить ее в стоп-лист, если существует опасность ее мошеннического использования.
Завершение обслуживания карты банком означает присвоение ей статуса «закрыта» в программном комплексе банка с одновременным закрытием «контракта» соответствующей карты в базе данных процессингового центра, а также закрытие счета клиенту. Закрытие основной карты, выпущенной для физического лица, также означает закрытие всех дополнительных карт, выпущенных к соответствующему счету.
Организация удаленной персонализации карт в спонсируемом банке
Руководство каждого банка, ассоциированного или аффилированного участника международных платежных систем, работающего под спонсорством принципала, как правило, более крупного банка, чувствует некоторый дискомфорт из-за технологической зависимости от другого банка. В большинстве случаев банк-спонсор является также поставщиком процессинговых услуг спонсируемому банку на базе своего центра. Несмотря на партнерские отношения по карточной программе, банки в любом случае остаются конкурентами в остальных сегментах банковской деятельности, так что причины дискомфорта можно понять. Пока в России нет действительно независимых процессинговых центров, предоставляющих банкам полный спектр технологических услуг по выпуску и обслуживанию банковских карт, такая ситуация будет оставаться без изменений.
В связи с этим очень часто в спонсируемом банке возникает идея создания собственного процессингового центра или о переносе части функций процессингового центра на свои площади и, естественно, под свой контроль. Несмотря на возможное отсутствие экономической целесообразности таких решений, по имиджевым и (или) политическим причинам подобные проекты получают одобрение у владельцев банка, зачастую они даже являются их инициаторами. Мы не станем останавливаться на проблеме создания процессингового центра в спонсируемом банке, а только изложим проект по переносу части функций, а именно персонализации карт.
За основу нами был взят реализованный три года назад реальный проект по организации удаленной персонализации в одном из московских банков, имеющем статус ассоциированного и аффилированного участника в международных платежных системах. К моменту начала проекта эмиссия карт банка составляла порядка 30 тыс. карт Visa и MasterCard, поэтому собственная персонализация была для него важна, в том числе и с экономической точки зрения. Процессинговый центр банка-спонсора работал на программном продукте OpenWay и имел очень значительный объем эмиссии.
Организация персонализации карт в банке является затратным проектом, требующим закупки дорогостоящего оборудования, выделения отдельного помещения, организации в нем системы ограничения доступа и осуществления других мероприятий, о которых будет рассказано далее.
Упрощенно организацию персонализации можно разделить на несколько этапов, каждый из которых имеет свои временные рамки, но многие из них могут выполняться параллельно.
1. Подготовка помещения:
— выделение изолированного помещения;
— установка системы ограничения доступа в помещение;
— закупка и установка столов, кресла, двух сейфов (для заготовок и готовых карт);
— закупка и установка двух компьютеров, принтера для печати ПИН-конвертов.
Срок — 1 мес.
2. Одновременно с подготовкой помещения заключаются договоры на поставку эмбоссера (специальное устройство для выдавливания на пластиковых картах идентификационной информации, используются с комплектом программного обеспечения). Срок — 2–2,5 мес.
3. Параллельно заключается договоры на покупку криптоадаптера, программного обеспечения для печати ПИН-конвертов. Срок — 2 мес.
4. Параллельно получается лицензия Федеральной службы безопасности Российской Федерации (ФСБ России) на использование криптоадаптера. Срок — 1,5 мес.
5. Параллельно готовятся и заключаются договоры с банком-спонсором относительно переноса персонализации в спонсируемый банк. Конечно, стоимость изготовления карт в этом случае должна быть кардинально снижена. Срок — 2–2,5 мес.
6. Параллельно заказывается литера «М» в MasterCard WorldWide; литера «V» (для карт Visa) входит в комплектацию эмбоссера. Срок — 2 мес.
7. Установка и подключение компьютера, создание системы шифрования передаваемой информации. Срок — 1 мес.
8. Обучение сотрудников работе с эмбоссером. Печать тестовых карт. Срок — 0,5 мес.
Таким образом, общий срок внедрения персонализации составляет порядка трех-четырех месяцев.
Для выполнения проекта необходимы определенные хозяйственные затраты и приобретение оборудования.
Хозяйственные затраты:
— изолированное помещение — 1;
— кресло — 1 шт.;
— стол — 2 шт. (один для эмбоссера и компьютера, второй для принтера по печати ПИН-конвертов и компьютера);
— сейфы — 2 шт. (один для заготовок, второй для готовых карт);
— пеналы для ключей от сейфов — 2 шт. (один для рабочего комплекта ключей, второй для резервного комплекта ключей);
— телефон — 1 шт;
— система ограничения доступа в помещение (карточки доступа);
— камеры видеонаблюдения — 3 шт. (вход, два стола).
Оборудование:
— эмбоссер — 1 шт.;
— программное обеспечение для управления эмбоссером — 1 шт.;
— криптоадаптер — 1 шт.;
— программное обеспечение для печати ПИН-конвертов — 1 шт.;
— компьютеры — 2 шт. (один для управления эмбоссером, второй для печати ПИН-конвертов);
— принтер EPSON FX-890 (для печати ПИН-конвертов) — 1 шт.
Рассмотрим наиболее важные моменты в процессе организации удаленной персонализации, которые чаще всего вызывают вопросы при реализации проекта.
Эмбоссер. В зависимости от текущих объемов эмиссии банка, существует несколько вариантов оборудования для персонализации банковских карт. Для указанного выше проекта выбор производился из двух эмбоссеров.
1. Эмбоссер E2000 Pro-Series. Высокопроизводительный эмбоссер, основная особенность которого — наличие двух барабанов для эмбоссирования (выдавливания) на 210 символов, что позволяет или в 2 раза увеличить скорость эмбоссирования карт, или разместить на нем несколько разных шрифтов. Два устройства для индент-печати позволяют совмещать на одной карте индент-печать на лицевой и обратной стороне одновременно. Многопоточная система позволяет одновременно персонализировать четыре карты.
Основные технические характеристики и спецификация показаны в табл. 18.1 и 18.2.
2. Эмбоссер DataCard Model 450. Еще один вариант, который в итоге и был выбран, — это эмбоссер DataCard Model 450, настольное устройство, предназначенное для персонализации пластиковых карт, имеющее производительность около 420 карт в час. Система состоит из набора модулей:
— тиснения символов;
— раскраски рельефа вытисненных символов;
— персонализации карт с микросхемой.
Характеристики:
— размеры: 90 ? 54 ? 43 см;
— масса: от 54,5 до 73 кг;
— электропитание: 240 В, 50/60 Гц
— возможные типы карт: CR80, CR50, толщиной от 0,51 до 0,76 мм;
— колесо для тиснения 112 знакомест;
— автоматическая загрузка до 200 карт;
— накопитель для автоматической выгрузки до 120 карт;
— возможность тиснения до 11 строк;
— возможность работы в режимах онлайн и офлайн;
— программное обеспечение для обнаружения и автоматического исправления сбоев;
— индикатор на 32 знака для вывода сообщений;
— до восьми форматов эмбоссирования;
— два счетчика карт;
— запираемый корпус;
— доступ к системе с помощью пароля;
— подключение по интерфейсу RS232.
Варианты комплектации:
— запись на магнитную полосу;
— раскраска вытисненных знаков;
— индент-печать символов;
— персонализация карт с микросхемой (протокол Т=0, Т=1, карты с памятью);
— использование различных шрифтов для тиснения;
— принтер для печати этикеток;
— внутренний интерфейс связи 327Х или 5256.
Для решения разных задач можно применять различную комплектацию, учитывая текущие потребности банка. В качестве варианта можно привести следующую комплектацию для организации персонализации карт с магнитной полосой (табл. 18.3), апгрейд устройства до работы с микропроцессорными картами будет приведен ниже.
Для выполнения персонализации микропроцессорных карт стандарта EMV необходимо провести доукомплектацию указанного эмбоссера, например, в соответствии с указанной ниже спецификацией:
1. Доукомплектация DC 450 модулем инициализации микросхемы:
1.1) автоматическая загрузка карт с контактной группой для инициализации микросхемы;
1.2) законченный набор для установки устройства чтения/записи GemPC-410FD в модуль инициализации микросхемы;
1.3) боковая крышка.
2. Работы:
2.1) работа по инсталляции модуля автоматической загрузки карт с контактной группой и с устройством чтения (записи) микросхемы.
3. Доукомплектация ПО «КОМАК»:
3.1) доукомплектация ПО «КОМАК» опцией подключения прикладной программы персонализации смарт-карт (32 bit).
Примечание: прикладная программа для работы со смарт-картами приобретается отдельно.
Требования к порядку и условиям эксплуатации эмбоссера
1. Общие требования.
1.1. Применяемые пластиковые карты и другие расходные материалы должны соответствовать требованиям ISO и эксплуатационной документации машин.
1.2. Во избежание выхода из строя коммуникационных портов переустановка интерфейсных кабелей должна производиться только при выключенных из электросети сетевых шнурах машин.
1.3. В случае если документацией машин установлен норматив предельной эксплуатационной загрузки машины, то ограничения превышаться не должны.
2. Требования к электропитанию и заземлению:
2.1. Проводка, монтаж и организация электропитания и заземления должны соответствовать правилам устройства электроустановок.
2.2. Требуемые параметры электропитания:
2.3. Машины необходимо подключать через устройства бесперебойного питания (UPS) мощностью не менее, чем 1,5 кВт.
2.4. Требования к системе заземления.
2.4.1. Все розетки должны иметь заземляющий контакт (евростандарт), подключенный к контуру защитного заземления.
2.4.2. Контур заземления должен быть выполнен проводом сечения не менее 4 мм2, без образования шлейфа по розеткам, сопротивление заземления не должно превышать 4 Ом.
2.4.3. Не допускается подключать к разъемам машин оконечное оборудование, не снабженное заземляющим контактом в вилке электропитания и (или) не подключенное к системе заземления.
3. Требования к помещению.
3.1. Размеры части помещения, приходящейся на машину, должны быть не менее чем 3,5 м (длина) х 2 м (ширина) х 2,5 м (высота) 12
3.2. Покрытия пола, потолка, стен, предметы интерьера и иное оборудование не должны накапливать электростатический заряд.
3.3. Параметры воздуха в помещении должны соответствовать следующим значениям:
— температура от 20 до 25 °C;
— относительная влажность от 60 до 80 % при максимальном не приводящем к конденсации паров давлении в 5,2 кПа;
— в воздухе должны отсутствовать токопроводящая пыль и химически активные пары.
4. Требования к расположению машин.
4.1. Машины должны быть размещены таким образом, чтобы обеспечить возможность доступа для обслуживания со всех сторон.
4.2. Вентиляционные отверстия на корпусах машин не должны быть загорожены посторонними предметами, стенками, стойками, экранами и пр.
4.3. Рабочее место оператора должно быть размещено в непосредственной близости от машин.
5. Требования к персоналу.
5.1. Операторы машин должны быть ознакомлены с эксплуатационной документацией машины и настоящими требованиями к порядку и условиям эксплуатации машины.
5.2. Операторы машин должны иметь базовую подготовку пользователя персонального компьютера с операционными системами, в которых будет эксплуатироваться программное обеспечение, и владеть английской терминологией по компьютерам и пластиковым картам.
5.3. В случае если эксплуатационной документацией машин и (или) правилами технического обслуживания машин установлена необходимость выполнения операторских профилактик, то операторы обязаны выполнять такие работы с установленной периодичностью.
5.4. В случае если в договор или комплект документации машин включены бланки журналов учета выпуска карт и учета операторских профилактик, то операторы обязаны регулярно вести такие журналы и предъявлять их при выполнении технического обслуживания машин.
6. Требования техники безопасности.
Требования техники безопасности — обычные для компьютеров и офисной оргтехники.
Криптоадаптер. Кроме эмбоссера, для персонализации карт, а именно генерации секретных величин и печати ПИН-кодов, требуется использовать криптоадаптер. Указанное устройство позволяет надежно шифровать передаваемые конфиденциальные данные. Существует несколько наименований и моделей криптоадаптеров. Для нашего проекта мы выбирали из следующего списка оборудования, применяемого для защиты информации в международных платежных системах с использованием банковских карт, производства компании Eracom Technologies:
1) PROTECTSERVER WHITE;
2) PROTECTSERVER BLUE no RSA;
3) PROTECTSERVER BLUE 1024 RSA4;
4) PROTECTSERVER BLUE 2048 RSA;
5) PROTECTSERVER ORANGE PL50;
6) PROTECTSERVER ORANGE PL220;
7) PROTECTSERVER ORANGE PL450;
8) PROTECTSERVER ORANGE EXTERNAL PL50;
9) PROTECTSERVER ORANGE EXTERNAL PL220;
10) PROTECTSERVER ORANGE EXTERNAL PL450;
11) PROTECTHOST WHITE PL20;
12) PROTECTHOST WHITE PL140;
13) PROTECTHOST WHITE PL280;
14) PROTECTHOST WHITE PL560.
На практике был выбран криптоадаптер PROTECTSERVER ORANGE EXTERNAL PL220 protecttoolkit, который, на наш взгляд, лучше всего подходил для нашего проекта. Ниже приведена спецификация этого устройства.
Аппаратно-программный комплекс PROTECTSERVER ORANGE external PL220 protecttoolkit с в составе:
— криптографический адаптер PROTECTSERVER ORANGE;
— программируемый интерфейс приложения;
— external PL220 protecttoolkit с;
— устройство для ввода карт СЫр Drive extern 320;
— пластиковая карта;
— инструкция по установке.
Купить такое устройство, не имея соответствующей лицензии на его использование, невозможно. В соответствии с Федеральным законом от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности» организациям, использующим средства криптографической защиты информации (СКЗИ), необходимо получить соответствующие лицензии ФСБ России. Для использования банком указанного выше криптоадаптера в Центре по лицензированию, сертификации и защите государственной тайны ФСБ России производится лицензирование банка по следующему виду деятельности: техническое обслуживание шифровальных средств в международных платежных системах с использованием банковских карт.
Предоставление услуг в области шифрования информации участникам международных платежных систем с использованием банковских карт. Процедура лицензирования предусматривает подачу заявления в ФСБ России на проведение лицензирования и подготовку комплекта документированных сведений, обосновывающих наличие у заявителя условий для осуществления заявленных видов деятельности и соответствия их предъявляемым ФСБ России требованиям. Для получения лицензии банку необходимо, в частности:
— составить необходимые инструкции, приказы, распоряжения, которые бы регламентировали работу подразделений со СКЗИ и обеспечили бы соблюдение требований к информационной безопасности со стороны ФСБ России и международных платежных систем;
— подготовить комплект документированных сведений для ФСБ России, обосновывающих наличие в банке условий для осуществления заявленных видов деятельности и соответствия их предъявляемым ФСБ России требованиям.
При этом не стоит беспокоиться о трудностях в получении указанной лицензии, так как компании, продающие криптографические устройства, официально оказывают помощь в подготовке всех необходимых документов и получении лицензии. Ориентировочно стоимость консультационных услуг по подготовке к лицензированию составляет порядка 1–1,5 тыс. дол., что не очень существенно по сравнению со всеми остальными затратами. Кроме оплаты консультационных услуг банку также будет необходимо оплатить государственные сборы: за рассмотрение заявления в ФСБ России и за оформление лицензии ФСБ России.
Ниже приведен пример письма в Центр по лицензированию, сертификации и защите государственной тайны ФСБ России, которое банку необходимо составить и отправить для получения лицензии.
Программное обеспечение для печати ПИН-конвертов. Для печати ПИН-конвертов требуется матричный принтер (как указано ранее, мы выбрали достаточно простой вариант — EPSON FX-890), а также программное обеспечение для печати ПИН-конвертов. Пример такого программного обеспечения — подсистема генерации секретных величин для магнитной полосы и печати ПИН-конвертов: отложенная печать ПИН-конвертов.
Расходные материалы. Следующий вопрос, который предстоит решить банку, отказывающемуся от услуг банка-спонсора по персонализации платежных карт, — закупка расходных материалов для эмбоссера и ПИН-конвертов. Для эмбоссера в основном требуются ленты для окраски символов, наносимых на карты. На лицевой стороне должны быть номер карты, фамилия и имя держателя, срок действия. На оборотной стороне, на полосе для подписи, — номер карты (или его часть), а также код безопасности.
Ниже приведены примеры требующихся расходных материалов:
— лента для окраски проэмбоссированных символов золотая (длина 61 м, более 2 тыс. карт);
— лента для окраски проэмбоссированных символов серебряная (длина 61 м, более 2 тыс. карт);
— лента для окраски проэмбоссированных символов черная (длина 61 м, более 2 тыс. карт);
— лента для окраски символов при индент-печати черная (длина 122 м).
Если расходные материалы для эмбоссера предложит компания-поставщик, она же проконсультирует по оптимальному выбору расходных материалов, а ПИН-конверты придется выбирать самостоятельно. Ниже приведено описание возможного выбора ПИН-конвертов, например карбоновых, и их отличие от «химических» ПИН-конвертов.
1. Карбоновый слой, наносимый методом горячей припрессовки, практически не подвержен высыханию и, как следствие, осыпанию при длительном хранении ПИН-конвертов в обычном (не специализированном) помещении. ПИН-код копируется на вкладыш четко и ярко.
2. На первом слое используется специальная (выдерживающая высокую температуру) бумага, которая прочно крепится к основному конверту и не слетает при прохождении через принтер.
3. Исключен производственный брак — неровное вложение вкладыша в конверт или его отсутствие. Вкладыш крепится на специальную точечную перфорацию и клей, что не позволяет ему съезжать внутри конверта.
ПИН-конверт стандартный «обезличенный»:
— количество слоев — 4;
— размер 210 мм х 4 дюйма;
— 1-й слой — Termatt 55 г 1/карбон;
— 2-й слой — Giroform CB 54 г 1/1;
— 3-й слой — Giroform CF 55 г 1/0;
— 4-й слой — Offset 60 г 1/1.
ПИН-конверт индивидуальный «с логотипом банка»:
— количество слоев — 4;
— размер — 210 мм х 4 дюйма;
— 1-й слой Termatt 55 г 1/карбон;
— 2-й слой Giroform CB 54 г 1/1 или 3/1;
— 3-й слой Giroform CF 55 г 1/0;
— 4-й слой Offset 60 г 1/1.
Организация операционной работы по персонализации карт.
После закупки и установки необходимого оборудования и обучения персонала наступает процесс непосредственной работы, что требует отражения нового порядка операционной деятельности по персонализации карт во внутрибанковских нормативных документах. Основные изменения будут касаться операционной работы и взаимодействия кассового хранилища и карточного подразделения по вопросам хранения и перемещения заготовок карт, а также изменения (облегчения) вопросов доставки готовых карт до подразделений, непосредственно взаимодействующих с клиентами и осуществляющих заказ на изготовление карт и выдающих готовые карты держателям. Ниже приведены возможные изменения во внутрибанковском порядке по эмиссии карт, отражающие персонализацию карт без привлечения банка-спонсора.
1. Персонализация банковских карт.
1.1. Движение заготовок пластиковых карт.
После приобретения заготовки пластиковых карт передаются на хранение в кассовый центр (КЦ). Для выпуска банковских карт необходимое количество заготовок по служебной записке доставляется из КЦ в карточное подразделение и передается сотруднику, ответственному за хранение и выпуск карт по акту приема-передачи.
1.2. Хранение и учет.
Заготовки карт и ПИН-конверты хранятся в отдельных сейфах. Учет карт и ПИН-конвертов ведется в двух журналах, где отражается текущий остаток, приход, расход, количество бракованных карт или ПИН-конвертов.
1.3. Выдача готовых карт и ПИН-конвертов.
По окончании работы готовые карты и ПИН-конверты сотрудник карточного центра получает по акту приема-передачи. Один экземпляр акта хранится у ответственного за выпуск карт, другой — у руководителя карточного подразделения. Бракованные карты и ПИН-конверты не хранятся, а сразу же уничтожаются комиссией по отдельному акту. Акты приема-передачи и уничтожения хранятся в комнате персонализации (КП) в отдельной папке.
2. Контроль за выпуском банковских карт.
Не реже одного раза в квартал комиссия проверяет работу ответственного за выпуск карт, состояние журналов. По результатам проверки делается запись в соответствующем журнале.
3. Порядок доступа в КП.
3.1. Распоряжением по банку назначается сотрудник, имеющий право доступа в КП для осуществления работ по выпуску банковских карт. В случае его временного отсутствия отдельным распоряжением на определенное время назначается дублер, имеющий право доступа в КП.
При смене сотрудника составляется акт, подтверждающий факт передачи документации, ключевых носителей, журналов состояния и контроля. Также отражаются сведения о работоспособности комплекса.
3.2. Ключи от КП и сейфов, находящихся в ней, хранятся в опечатываемом пенале и сдаются в комнату охраны. Копии ключей хранятся в комнате начальника охраны также в опечатанном пенале. Ключи от оборудования хранятся у руководителя карточного подразделения в сейфе.
3.3. По мере необходимости для выпуска банковских карт или проведения тестовых проверок оборудования ответственный сотрудник берет ключи в комнате охраны под роспись в журнале выдачи ключей, а у руководителя карточного подразделения — ключи от оборудования под роспись в журнале.
3.4. После окончания работ ключи от оборудования сдаются руководителю карточного подразделения, остальные ключи в пенале сдаются в комнату охраны. В этот момент КП ставится на сигнализацию.
3.5. В случае отсутствия руководителя карточного подразделения ключи от оборудования выдаются сотрудником, его замещающим.
4. Меры безопасности.
4.1. Журнал состояния оборудования.
Кроме журналов учета банковских карт и ПИН-конвертов ведется также журнал состояния оборудования, в котором отражаются:
— использование авторизационных функций и функций обслуживания;
— изменение состояния устройства (рабочее, тестовое и т. п.);
— использование авторизационных смарт-карт, LMK-ключей;
— акты неработоспособности устройства и передачи в ремонт.
Журнал ведется таким образом, чтобы в результате его анализа можно было определить точное состояние устройства в любой момент времени.
4.2. Приказом по банку назначаются сотрудники, ответственные за получение, хранение и смену LMK-ключей криптоадаптера, используемого для шифрования данных ПИН-кода банковских карт, а также три сотрудника, ответственных за получение, хранение и смену трех компонентов ZMK-ключа (зональный ключ).
4.3. В КП, в отдельном сейфе, хранятся:
— смарт-карты для хранения компонент LMK;
— смарт-карты для хранения мандатов доверенных сотрудников;
— нешифрованные секретные материалы.
При каждой смене доверенного сотрудника или в случае компрометации секретных материалов изменяемая часть должна быть обновлена.
4.4 Необходимые действия сотрудника, ответственного за выпуск карт:
— управление доступом к программному обеспечению и данным, включая установку и периодическую смену паролей, управление средствами защиты программного обеспечения, коммуникаций, данных;
— проведение периодического (не реже одного раза в квартал) контроля сохранности оборудования, а также целостности и легальности установленного программного обеспечения;
— диагностика и восстановление работоспособности комплекса;
— выявление и регистрация попыток несанкционированного доступа;
— доклад непосредственному руководителю и сотруднику службы безопасности о выявленных нарушениях, принятие мер по их устранению, участие в проведении служебных расследований по фактам нарушения безопасности защищаемой информации;
— исключение возможности ознакомления с криптографическими материалами лиц, к ним не допущенным.
5. Функциональные обязанности сотрудника, ответственного за выпуск карт:
— обеспечивать бесперебойный выпуск карт;
— обеспечивать надежное хранение заготовок, готовых карт и ПИН-конвертов;
— осуществлять контроль наличия заготовок; своевременно сообщать руководству о необходимом пополнении запаса заготовок;
— поддерживать вверенное оборудование в работоспособном состоянии, при необходимости вызывать специалистов технической поддержки;
— строго соблюдать порядок доступа в КП, режим конфиденциальности;
— обеспечивать в любое время доступ выделенного сотрудника безопасности в КП.
6. Техническое обслуживание:
— все операции по техническому обслуживанию должны отражаться в журнале состояния оборудования;
— перед передачей устройства в ремонт загруженные в него LMK-ключи должны быть стерты;
— для осмотра и ремонта комплекса на месте издается отдельное распоряжение руководителя карточного подразделения для допуска технического персонала в КП.
Договорные отношения касательно удаленной персонализации с банком-спонсором. Изменения порядка персонализации карт должно быть внесено в договоры между банком-спонсором и спонсируемым банком. Ниже приведены возможные пункты, которые можно внести в эмиссионный договор. При этом следует обратить внимание на возможность возврата к персонализации карт в банке-спонсоре. Это может понадобиться, например, при поломке оборудования и позволит избежать прерываний и задержек в выпуске карт клиентам. Также необходимо изменить тарифы на выпуск карт, так как при удаленной персонализации затраты банка-спонсора значительно уменьшаются и приближаются к нулю. В приведенном ниже тексте «Спонсор» — банк-спонсор, а «Банк» — спонсируемый банк.
1. Обмен электронными файлами между Банком и Спонсором по операциям, связанным с эмиссией, перевыпуском, закрытием Банком карт, производится в порядке и формате, согласованном Сторонами. В случае если Банк самостоятельно осуществляет персонализацию карт, Спонсор передает Банку необходимые сведения для эмиссии карт и печати ПИН-конвертов.
2. Стороны договариваются о том, что основным способом персонализации карт является самостоятельная персонализация карт Банком. В качестве резервного способа Банк может использовать персонализацию данных в системе расчетов Спонсором.
3. При организации самостоятельной персонализации Банк обязан осуществить подготовку помещения для эмиссии карт и ПИН-конвертов в соответствии с правилами платежной системы MasterCard. Спонсор имеет право контролировать соблюдение Банком правил платежной системы Visa при процедурах хранения, персонализации, уничтожения карт и ПИН-конвертов, а также управления криптографическими ключами для шифрования ПИН-кодов.
В случае использования Банком резервного способа персонализации:
3.1. Банк предоставляет Спонсору доверенности на сотрудников Банка, уполномоченных осуществлять:
— прием (передачу) пластика;
— прием (передачу) персонализированных карт и ПИН-конвертов.
3.2. Заготовки карт (пластик) хранятся в Банке. Необходимое количество пластика передается Банком Спонсору по акту приема (передачи), подписываемому в двух экземплярах уполномоченными лицами Сторон.
3.3. Персонализация данных Спонсором осуществляется в течение установленного договором срока, с момента поступления Спонсору информации об эмиссии (возобновлении) карт (в согласованном Сторонами порядке и формате).
3.4. В случае необходимости проведения срочной, в течение 24 ч, эмиссии карт Банк делает соответствующую отметку в электронном файле.
3.5. Эмитированные карты и ПИН-конверты передаются имеющему доверенность сотруднику Банка по акту приема (передачи), подписываемому в двух экземплярах уполномоченными лицами Сторон. При этом уполномоченные лица Сторон сверяют соответствие информации, указанной на картах и ПИН-конвертах, и информации, указанной в акте приема (передачи).
3.6. Отбракованные, неправильно персонализированные карты передаются в Банк по акту приема (передачи), подписываемому в двух экземплярах уполномоченными лицами Сторон для дальнейшего их уничтожения.
3.7. В случае если информация, необходимая для персонализации данных в системе расчетов, предоставлена Банком с соблюдением всех требуемых условий, Спонсор несет ответственность за правильность осуществления персонализации. В противном случае ответственность и все расходы, связанные с исправлением персонализированных данных, несет Банк. Спонсор не несет ответственности за возможные факты злоупотреблений, потери, порчу карт и ПИН-конвертов после их передачи представителю Банка по акту приема (передачи).
4. В случае использования основного способа персонализации с момента получения в электронном виде сведений от Спонсора, необходимых для персонализации карт и ПИН-конвертов, Банк несет всю ответственность за возможные факты мошенничества с использованием данных карт и их реквизитов.
5. Регистрация Банка в системе удаленной персонализации карт и ПИН-конвертов оформляется Актом выполнения работ.
Таким образом, организация удаленной персонализации в банке, не имеющем собственного процессингового центра, возможна, хотя и требует существенных затрат. В приведенном материале не даются ответы на все возникающие в процессе реализации проекта вопросы, но приведены наиболее важные из них, на наш взгляд. С экономической точки зрения такой проект имеет смысл при значительных объемах эмиссии, и в том числе при географической удаленности банка от центра персонализации банка-спонсора. Наиболее важным моментом является технологическая и политическая готовность банка-спонсора передать эту функцию спонсируемому банку. А для сотрудников спонсируемого банка это будет действительно интересный проект, позволяющий расширить собственный профессиональный кругозор.
Карты с разрешенным овердрафтом в рамках немассовой эмиссии. Дебетовые карты постепенно уступают место кредитным карточным продуктам, и большинство банков реализуют собственные программы по эмиссии кредитных карт. При этом есть банки, в том числе достаточно крупные, для которых карточный бизнес является дополнительной опцией при формировании предложения корпоративным клиентам. Естественно, о массовости кредитных программ для любых групп клиентов не идет и речи, но при этом если не кредитные, то карты с овердрафтом им нужны. Рассмотрим, каким образом можно четко сегментировать клиентскую базу и описать бизнес-процессы для реализации овердрафтного карточного кредитования без существенных инвестиций в покупку и настройку скоринговых систем.
Одно из основных отличий выпуска дебетовых карт от карт с возможностью кредитования — это другой подход к рискам по отношению к клиенту, так как держатель карты — заемщик. Заменой скоринговой карты может выступать четкое сегментирование потенциальных держателей таких карт, начиная с общих характеристик. Например, можно сразу ввести некоторые общие требования к эмиссии карт с овердрафтом:
— потенциальные держатели карт — физические лица — резиденты Российской Федерации;
— овердрафт может предоставляться как с обеспечением, так и без обеспечения; в качестве обеспечения может приниматься поручительства третьих лиц, клиентов банка или ликвидный залог;
— срок очередного погашения задолженности по овердрафту не должен превышать 60 календарных дней; в случае превышения этого срока сумма задолженности и начисленных процентов считается просроченной;
— отношения между заемщиком и банком в процессе использования и погашения овердрафта должны регламентироваться договорами, в том числе в виде оферты или договора присоединения;
— лимиты на операции овердрафтного кредитования для филиалов и дополнительных офисов банка не имеет смысла устанавливать отдельно; фактический совокупный размер овердрафта по всем заемщикам можно включать в сумму фактической ссудной задолженности клиентов.
Можно предложить группировать потенциальных заемщиков по признакам, позволяющим минимизировать риск невозврата кредита и определить условия и максимальные суммы кредитования.
1. Физические лица — вкладчики банка. Овердрафт по карточному счету может быть предоставлен физическим лицам, постоянно зарегистрированным и проживающим в регионе нахождения учреждения банка при наличии срочного вклада в банке на сумму не менее 500 дол. США или эквивалента в иной валюте. Срок окончания действия договора овердрафта должен быть не более срока окончания действия договора банковского вклада. Договор овердрафта оформляется на срок не менее трех месяцев.
Размер возможного овердрафта рассчитывается как наименьшая из следующих величин:
— 70 % от суммы вклада;
— 5 тыс. дол. США или эквивалент 5 тыс. дол. США (по курсу Банка России на дату расчета максимального лимита овердрафта).
Физическое лицо заполняет следующие документы:
— договор о предоставлении овердрафта по банковской карте (по форме, установленной банком);
— договор залога прав требования (по форме, установленной банком); и предоставляет паспорт.
2. Физические лица — держатели банковских карт банка, имеющие ежемесячные поступления на счет банковской карты (перечисляющие заработную плату). Овердрафт по карточному счету может быть предоставлен физическим лицам, постоянно зарегистрированным и проживающим в регионе расположения учреждения банка из числа клиентов, имеющих в банке карточный счет не менее шести месяцев, по которому осуществляются ежемесячные кредитовые обороты. К таким клиентам обычно относятся сотрудники компаний, получающие заработную плату с использованием платежной карты.
Размер возможного овердрафта рассчитывается как наименьшая из следующих величин:
— 80 % от размера среднемесячных поступлений на счет карты, за последние 6 мес.;
— 1 тыс. дол. США или эквивалент 1 тыс. дол. США (по курсу Банка России на дату расчета максимального лимита овердрафта).
Физическое лицо заполняет договор о предоставлении овердрафта по банковской карте (по форме, установленной банком) и предоставляет паспорт.
3. Физические лица — держатели банковских карт банка, имеющие положительную историю использования банковской карты. Овердрафт по карточному счету может быть предоставлен физическим лицам, постоянно зарегистрированным и проживающим в регионе пребывания учреждения банка из числа клиентов, использующих карту MasterCard Standard, MasterCard Gold, Visa Classic, Visa Gold банка не менее одного года и имеющих устойчивые обороты по карте.
Размер возможного овердрафта рассчитывается как наименьшая из следующих величин:
— 90 % от размера среднемесячного кредитового оборота по карточному счету, за последние 12 мес.;
— 1 тыс. дол. США или эквивалент 1 тыс. дол. США (по курсу Банка России на дату расчета максимального лимита овердрафта).
Физическое лицо заполняет договор о предоставлении овердрафта по банковской карте (по форме, установленной банком) и предоставляет паспорт.
Данный текст является ознакомительным фрагментом.