Процессинг транзакций
Процессинг транзакций
Процессинг — собственный или третьесторонний: за и против
Процессинговый центр (ПЦ) — организационно-технологическое подразделение финансового института или специализированной компании, осуществляющее поддержание жизненного цикла банковских продуктов на основе пластиковых карт. В перечень функций, выполняемых ПЦ, входит обслуживание жизненного цикла карты, подключение и мониторинг сети терминальных устройств, захват и техническая обработка (процессинг) транзакций, подготовка данных для осуществления взаиморасчетов (клиринга) с клиентами и контрагентами. Отдельной функцией, которую в ряде случаев также выполняет ПЦ, является персонализация карт.
При реализации проектов с использованием пластиковых карт существуют три основные технологические схемы — с использованием собственного процессинга (in house), стороннего или в соответствии с терминологией международных платежных систем, — третьестороннего процессинга (third party processor или member service provider), а также комбинированная схема.
В первом случае выполнение всех технологических функций, связанных с обслуживанием пластиковых карт, производится персоналом финансового института с использованием программно-аппаратного комплекса, принадлежащего ему же.
Во втором случае основные технологические функции передаются на выполнение (аутсорсинг) сторонней организации, сертифицированной платежными системами на предоставление подобного рода услуг — третье-стороннему процессору (third party processor или member service provider).
В третьем случае часть функций (например, поддержка эмиссии и продуктового ряда) выполняется непосредственно на технологических мощностях банка, а другая часть (поддержка терминальной сети, обслуживание подключений к платежным системам, подготовка данных для клиринга) — сторонним процессором.
Выбор схемы процессинга для пластикового проекта банка определяется в первую очередь экономическими причинами, однако важную роль при принятии решения играет также оценка потенциальных рисков рассматриваемых альтернатив — как бизнес, так и технических. Поэтому к моменту принятия решения о технологической части проекта, банк должен иметь четкую концепцию развития бизнеса с пластиковыми картами, оформленную в виде бизнес-плана с перспективой на несколько ближайших лет, в котором обозначены как минимум следующие параметры:
• продуктовый ряд и позиционирование банка на рынке (какие тенденции имеются на рынке, какие продукты банк собирается предлагать, какую долю рынка планирует занять и на чем предполагает зарабатывать);
• параметры эмиссии (какие карты какой платежной системы выбраны для проекта, соотношение транзакций в своей и в чужой сети, коэффициенты использования карты);
• экономика продуктов (затратная и доходная части);
• характеристика терминальной сети (наличие собственной терминальной сети и терминальной сети других банков, работающих в регионе; стоимость доступа к чужой терминальной сети по тарифам присутствующих в регионе платежных систем);
• финансовые возможности и амбиции банка (сколько мы готовы вложить в инфраструктуру этого проекта).
Для понимания доли технологической составляющей, рассмотрим вкратце типичную экономику проекта по выпуску и обслуживанию продуктов с пластиковыми картами. Банк работает с клиентами и получает прибыль от их обслуживания — доходную и расходную составляющие можно приближенно представить в виде следующей таблицы (табл. 1).
Из табл. 1 видно, что существенную долю расходов финансового института составляют транзакционные платы в пользу процессора. При этом с увеличением объема эмиссии и количества устройств, принадлежащих банку, вес технологической составляющей в расходной части проекта увеличивается.
Рассмотрим, из чего складывается экономика работы процессора (табл. 2).
Из табл. 2 следует, что значимую долю в расходах процессора составляют единовременные инвестиции в построение и сертификацию датацентра и центра персонализации, а также регулярные затраты на поддержание их работоспособности. Поэтому очевидно, что для небольших эмиссионных проектов (оценочно до 50 000 карт) организация собственного полнофункционального процессинга как правило не окупается.
Существенную роль при выборе решения для обработки транзакций играет оценка технологических и бизнес-рисков. В частности, при выборе стороннего процессора следует обратить внимание на такие факторы, как размер бизнеса и организационная структура компании, предлагаемый продуктовый ряд, используемые технологические решения, существующую клиентскую базу процессора в вашем регионе (какие финансовые институты и с каким продуктовым рядом). Особое внимание следует обратить на договорную базу — наличие прописанных процедур взаимодействия, термины соглашения об уровне сервиса (SLA — Service Level Agreement). Неприятным сюрпризом для банка может оказаться наличие в договоре с процессором exit fee — обязательства компенсировать те или иные затраты, либо выплатить штраф в размере предполагаемого оборота за срок действия договора в случае его досрочного расторжения.
Основные аргументы в пользу того или иного решения приведены в табл. 3.
Ещё одним ограничением при выборе процессора для банков, вступающих в платежные системы под спонсорством другого финансового института, является тот факт, что обычно условия спонсорского пакета предусматривают имплементацию на процессоре, аффилированным с данным финансовым институтом.
В настоящее время на рынке процессинговых услуг в России присутствует достаточное количество игроков, как отечественных (ЗАО «Компания объединенных кредитных карт», ряд банков, предлагающих услуги процессинга в составе спонсорских пакетов), так и зарубежных (First Data Inc., Global Payments Inc.) с конкурирующими тарифами. Поэтому представляется, что выбор технологического партнера для реализации карточного проекта при наличии четкого понимания его предполагаемой экономики не должен представлять затруднений.
Технология работы финансового института с процессором
Как известно, в организационно-технологическом плане процессинговые системы можно разделить на фронт-офис, бэк-офис, центр персонализации и инфраструктурные подсистемы, не участвующие напрямую в процессе авторизации транзакций и персонализации пластика (рис. 1).
Рассмотрим элементы технологических процессов, связанных с обслуживанием транзакционного и жизненного циклов карты, с указанием технологических подсистем процессингового центра и участвующих подразделений процессора и финансового института (табл. 4).
Очевидно, что часть процессов, перечисленных в табл. 4, может выполнять процессор, часть — банк.
Существуют два предельных случая — оффлайновое (рис. 2, 3) и онлайновое взаимодействие банка с процессором (рис. 4). При онлайновом подключении авторизация транзакций происходит в реальном времени против актуальных значений остатков средств на счетах клиента в АБС банка. Часть функций персонала процессора делегирована подразделениям банка с помощью средств удаленного доступа к фронт- и бэк-офисным подсистемам процессора. Тем не менее, основной обмен информацией, имеющей финансовые последствия (поручения на выпуск карт, клиринговые файлы и т. п.) производится файлами с использованием нотаризованного документооборота. Достоинствами данного способа работы с процессором является оперативность доступа к данным, приближающая возможности банка к возможностям работы с собственным процессингом, без необходимости построения последнего и, как следствие, более низкие риски. Недостатками являются более высокие затраты на коммуникации и необходимость в ряде случаев иметь квалифицированный персонал, дублирующий персонал процессора.
Проверка реквизитов карты и финансовая авторизация осуществляется процессором, обслуживание устройств, подключаемых к хосту процессора, и расчеты с Платежными системами выполняет банк.
Авторизация по счету осуществляется АБС банка, проверку карты осуществляет хост процессора, обслуживание устройств, подключаемых к хосту процессора, и расчеты с Платежными системами выполняет банк.
При оффлайновом взаимодействии с финансовым институтом процессор авторизует транзакции по лимитам, предоставляемым с определенной периодичностью. Банк же обрабатывает транзакционные отчеты, предоставляемые процессором и осуществляет учет операций в своем бэк-офисе. Весь обмен данными с банком осуществляется также путем нотаризованного документооборота. Преимуществом данного способа являются крайне низкие первоначальные затраты для старта карточной программы (фактически — закупка ПО карточного бэк-офиса, совместимого по форматам обмена данными с процессором). Недостатками являются более высокие риски и отсутствие гибкости — продуктовый ряд ограничен возможностями взаимодействия с провайдером услуг, а предоставляемый сервис — возможностями его клиентской службы.
Следует отметить, что в реальной жизни в настоящее время чисто оффлайновая схема практически не используется. Использование средств удаленного доступа к ресурсам процессора и организация нескольких сеансов файлового обмена с процессором в день приближают её по возможностям к онлайну.
Построение процессингового центра банка
Построение процессингового центра банка является многостадийным проектом, в ходе реализации которого необходимо решить комплекс задач по проектированию и подготовке помещений, инженерной инфраструктуры, выбору программно-аппаратной платформы, разработке организационных процедур.
Особое внимание на стадии проектирования должно быть уделено вопросам физической, логической и информационной безопасности, так как внесение изменений в уже реализованные элементы конструкций и инфраструктуры по результатам аудитов (помещения, элементы программно-аппаратного комплекса) может быть сопряжено со значительными финансовыми и временными затратами. Привлечение к процессу проектирования внешних консультантов и поставщиков, знакомых с процедурами аудита и требованиями платежных систем, позволит избежать возможных ошибок и дополнительных затрат на их устранение.
В процессе построения и ввода в эксплуатацию процессингового центра, как и в создании любой автоматизированной системы управления, можно выделить несколько стадий (табл. 5).
Отдельным вопросом при построении ПЦ является выбор программно-аппаратной платформы, так как именно она определяет пользовательские характеристики всей системы. В мире существует достаточное количество поставщиков решений для обработки транзакций с использованием пластиковых карт. Заинтересованный специалист без труда составит список на основе публикаций в профильной прессе («European Card Review», «ПЛАС») либо по каталогам отраслевых выставок типа CARTES (www.cartes.com). Отрадно, что наряду с зарубежными (ACI, Euronet Worldwide, Tieto Enator, M2M, CardTech и т. п.) вендорами в этом ряду присутствуют и отечественные компании (OpenWay, БПЦ, Compass Plus), знакомые со спецификой реализации российских проектов (такой как мультивалютность в устройствах и расчетах, форматы интерфейсов с локальными поставщиками услуг — сотовыми операторами и т. п., нормами законодательства и бухгалтерского учета).
В качестве общей специфики стоит учесть, что в термин «бэк-офис карточной системы» западные поставщики вкладывают только поддержку жизненного цикла карты, российские же клиенты как правило ожидают, что помимо этой функции карточный бэк-офис будет выполнять функции ритейлового приложения и учетной системы.
При подготовке тендерной документации для выбора программно-аппаратной платформы ПЦ необходимо уделить внимание целому ряду факторов (см. табл. 6).
Существенную помощь в этом процессе окажет наличие констатирующего документа, отражающего концепцию развития карточного проекта в масштабах банка в целом и процессинговой системы (см. рис. 5) в частности. Документ должен:
• определить цель и масштабы проекта, обозначить его функциональность (поддерживаемый продуктовый ряд, функции, выполняемые процессинговым центром для поддержки эмиссии/эквайринга, список функциональных требований к прикладному программному обеспечению и т. п.);
• констатировать текущее состояние дел по результатам системного обследования (выпускаемые продукты, используемые решения, наличие квалифицированного персонала, существующие ограничения, используемые помещения, коммуникационные ресурсы и т. п.);
• перечислить крупные задачи проекта (инсталляция, запуск персонализации, эмиссия, эквайринг, интеграция с банковской системой, подключение и сертификация интерфейсов к платежным системам);
• обозначить ограничения, при которых задачи будут решаться (необходимость обучения (привлечения) персонала, ограничения на используемые аппаратные и коммуникационные платформы, требования по производительности и масштабированию системы);
• указать сроки решения этих задач и исполняющие их подразделения;
• определить необходимые затраты и возможные риски.
Организационная структура процессингового центра
Рассматривая организационную структуру процессинга (рис. 6), будем исходить из предположения, что наш процессинговый центр является организационной единицей вне банка, т. е. предоставляет банкам услуги процессинга. В этом случае подразделения, отвечающие за разработку продуктов, взаимоотношения и расчеты с платежными системами в составе процессинга отсутствуют (являются банковскими), а процессинг представлен в основном технологическими и операционными подразделениями.
В табл. 7 приведены функции основных подразделений процессингового центра согласно изображенной диаграмме.
— процедуры
Организация технологического взаимодействия процессора и служб банка
Повседневная деятельность подразделений процессингового центра и их взаимодействие с финансовыми институтами и платежными системами регламентируется процедурами.
Процедуры процессингового центра должны быть формализованы, утверждены руководителями задействованных подразделений, а также регулярно пересматриваться с определенной периодичностью.
В табл. 8 приведен ряд основных процедур, а также задействованные в них подразделения.
Безопасность процессинговых центров
Одним из наиболее важных практических аспектов функционирования процессингового центра банка является обеспечение его безопасности. В отличие от обычных информационных систем процессинговый центр банка содержит информацию о реквизитах, позволяющих получить доступ к деньгам клиентов, и компрометация этих данных может привести к значительным финансовым потерям. Вот почему существенная доля затрат при создании и функционировании процессинга связана с расходами на обеспечение безопасности.
Рассмотрим некоторые аспекты безопасности процессинговых центров.
Физическая безопасность — подразумевает ограничение доступа неавторизованного персонала на территорию центров обработки данных и персонализации, а также устойчивость указанных зданий к внешним воздействиям. В помещениях и технических зонах должны быть использованы средства контроля доступа (далее — СКД), в зонах особого режима — технические средства охраны и видеонаблюдения.
Организационно-техническая безопасность — подразумевает существование службы офицеров безопасности (security officers). К обязательным мерам относится наличие процедур, регламентирующих жизненный цикл криптографических ключей (key management), наличие и исполнение процедур доступа к данным и криптографической информации, а также процедуры аудита.
В информационной системе процессингового центра должны использоваться средства аутентификации, разграничения доступа и аудита.
Обязательным правилом должно быть наличие раздельных сред разработки, тестирования и эксплуатации приложений, с вынесением среды эксплуатации в отдельный программно-аппаратный комплекс. Все новые программные и технические средства должны предварительно проходить тестирование в специально выделенных средах. Желательно также, чтобы разработкой и сопровождением системы занимались отдельные подразделения процессингового центра.
Транзакционная безопасность — комплекс мер, направленных на обеспечение целостности информационного обмена между хостами и устройствами, предотвращение фальсификации данных и невозможности получения ПИН-кодов из данных транзакций. Технически обеспечивается использованием многоступенчатой системы ключей для шифрования ПИН-блоков (одноразовые сессионные ключи устройств, транспортные ключи для интерфейсов), применением MAC-кодов (Message Authentication Code) для подтверждения целостности сообщений, использованием аппаратных средств шифрования (HSM — Hardware Security Module) для хранения криптографических данных и выполнения операций трансляции и проверки ПИН-кодов.
Важное значение имеет также проверка соответствия данных транзакции данным магнитной полосы карты, а также данным, находящимся в БД процессинга — это позволяет отсекать процедуры подбора карты.
Управление рисками — заключается в использовании технических средств и организационных процедур, минимизирующих или позволяющих контролировать различные категории рисков.
К техническим средствам управления рисками можно отнести использование программно-аппаратных средств, позволяющих анализировать авторизационный траффик, базу данных с историей транзакций и сообщениями претензионного цикла и на основе правил (rule-based) или нейронных сетей детектировать различного рода атаки и вероятные мошенничества.
К организационно-техническим средствам можно отнести интерфейсы с базами данных международных платежных систем, содержащих информацию о случаях мошенничества и недобросовестной деловой практики, например, System to avoid fraud effectively (SAFE), Member alert to control high-risk (MATCH), National merchant alert system (NMAS).
К организационным средствам управления рисками можно отнести проверку и аттестацию персонала, имеющего доступ к критическим данным.
Безопасность процедур персонализации должна обеспечиваться еще на стадии проектирования центра, исходя из требований последующей сертификации в международных платежных системах. В частности, планировка и конструкция помещений должны предусматривать ряд зон (производственная зона, зона приема-передачи, зона печати ПИН-конвертов, зона хранения и т. п.), оборудованных техническими средствами ограничения доступа, мониторинга и аудита. Особое внимание также должно быть уделено подбору персонала.
Стандарт защиты информации в индустрии платёжных карт (PCI DSS)
В 2006 г. Советом по стандартам безопасности индустрии платежных карт (PCI Security Standards Council), образованным пятью ведущими платежными системами American Express, Discover Financial Services, JCB, MasterCard и VISA, был опубликован стандарт защиты информации в индустрии платежных карт — Payment Card Industry Data Security Standard (PCI DSS).
Данный стандарт объединяет в себе требования ряда нормативных документов платежных систем в области защиты информации, в частности:
• Visa Europe & other regions: Account information security (AIS);
• Visa USA: Cardholder information security (CISP);
• MasterCard: Site data protection (SDP).
Требования стандарта распространяются на все компании (процессинговые центры, платежные шлюзы, провайдеры интернет), работающие с международными платежными системами. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей, выполняемые сертифицированными аудиторами.
Стандарт PCI DSS устанавливает следующие области контроля и 12 основных требований, которым должна соответствовать организация для аттестации на соответствие стандарту.
I. Построение и сопровождение защищенной сети
1. Создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей карт;
2. Неиспользование уставленных по умолчанию поставщиками решений системных паролей и иных параметров безопасности.
II. Защита данных держателей карт
3. Обеспечение защиты данных держателей карт в процессе хранения;
4. Обеспечение пересылки данных держателей карт в зашифрованном виде при их передаче через незащищенные и общедоступные сети.
III. Поддержка программы управления уязвимостями
5. Использование и регулярное обновление антивирусного программного обеспечения;
6. Разработка и поддержка защищенных (безопасных) систем и приложений.
IV. Реализация мер по строгому контролю доступа
7. Ограничение доступа к данным по принципу служебной необходимости;
8. Присвоение уникального идентификатора каждому лицу, располагающему доступом к компьютеру;
9. Ограничение физического доступа к данным держателей карт
V. Регулярный мониторинг и тестирование сетей
10: Запись и отслеживание всех сеансов доступа к ресурсам сети и данным держателей карт;
11. Регулярное тестирование систем и процессов обеспечения безопасности.
VI. Поддержание политики информационной безопасности
12. Наличие и исполнение в организации политики информационной безопасности[238].
В приведенном разделе мы вкратце постарались осветить основные аспекты, связанные с обработкой транзакций по банковским картам — технологические вопросы организации процессинга, организационную структуру, процедуры и вопросы безопасности.
Тем не менее, не претендуя на полноту освещения данных вопросов, мы надеемся, что приведенный материал окажется полезным читателю как при общем изучении данного вопроса, так и при реализации конкретных проектов.