Проект - Платежные карты: Бизнес-энциклопедия
Устройства для «быстросъемной» персонализации. Благодаря этим устройствам мы можем наклеивать различные этикетки на карту, например, с информацией об активации карты путем звонка по телефону или посещении киоска самообслуживания. Это также устройства, наносящие специальное покрытие или специальные этикетки на информацию, требующую временной защиты — так называеме скретч-панели или этикетки, например, на предоплаченных картах.
Устройства «украшательно-защитной» персонализации обеспечивают одну из старейших технологий — нанесение металлизированных или обычных цветов на выдавленные (эмбоссированные) символы. Технология же защиты напечатанных графических объектов предполагает покрытие поверхности карты различными ламинирующими пленками, в том числе и с голографическим рисунком.
Специализированные устройства, обеспечивающие генерацию секретных ПИН-кодов, необходимых для использования карт. Эти устройства обычно делятся на две категории: устройства, порождающие по специальным правилам и алгоритмам необходимые держателю карты последовательности цифр, обычно их называют HSM, что успешно расшифровывается и как hardware security module, и как host security module, что собственно не меняет сущности устройства, которое весьма специфично, как и любое устройство, обеспечивающее информационную безопасность.
Сортировочно-контрольное оборудование служит для окончательной проверки и сортировки карт обычно в случае их отправки без упаковки или когда необходимо по каким-либо причинам с высочайшей степенью надежности убедиться в правильности и взаимном соответствии всех видов персонализации, сделанных на карте. Эти устройства обычно читают магнитную полосу и микросхему карты, распознают символы «на сравнение» и графические образы, в том числе фотографии, также «на сравнение». «Младшие» братья этих устройств проверяют полноту вложений либо взвешиванием, либо сортировкой в воздушном потоке с помощью поддува, тем самым ставя дополнительный заслон между ошибками в персонализации и держателем карты.
Тестовое оборудование обеспечивает контроль качества, полученного от заводов — изготовителей пластика по геометрическим и физическим параметрам, что очень важно, во-первых, с точки зрения обеспечения презумпции невиновности держателя карты в случае необоснованных подозрений со стороны операторов принимающих карту для выполнения платежа («не тот цвет», «не тот размер», «потрепано — обшарпано» и т. д.), а также обеспечения высоких темпов и бесперебойности работы персонализационного оборудования.
Локальная компьютерная сеть является неотъемлемой частью любого персонализационного бюро и представляет собой достаточно обычную офисную систему, за исключением неукоснительного выполнения требований по разделению информации с жесточайшем контролем доступа к ней в соответствии с требованиями и международных платежных систем, и национальных стандартов, и внутренних регламентов любого уважающего себя банковского учреждения. Естественно, что эта сеть должна предусматривать необходимый уровень дублирования и резервирования.
Устройства упаковки обычно подразделяются на три типа:
• устройства упаковки в готовые конверты;
• устройства упаковки в «рукав», который превращается в конверты;
• устройства упаковки в нестандартные бумажные, пластиковые, картонные упаковки.
Устройства автоматического или ручного ввода и распознавания графической информации например для оцифрорвывания анкет с приклеенной фотографией.
Устройства обеспечения физической и электронной безопасности процесса персонализации.
4. Программное обеспечение персобюро состоит из следующих типов программ.
Программы, непосредственно управляющие работой устройств персонализации и ввода данных.
Программы, готовящие данные для успешной персонализации карт в каждом виде устройств, а также позволяющие последовательно проводить персонализацию на разных устройствах.
Программы, позволяющие планировать загрузку устройств с целью ритмичного выпуска персонализированных карт.
Программы учета расходных материалов.
Программы учета рабочего времени.
Программы обеспечения защищенного хранения и квалифицированного уничтожения данных.
Программы генерации всех необходимых регламентами отчетов и сопроводительныъх форм.
Предпосылки для создания персонализационного бюро
Задача создания подразделения или компании профессионально занимающейся персонализацией в принципе может иметь административную, бизнес- и политическую природу. Конечно же, возможна и любая композиция из выше перечисленного. Если административная составляющая превалирует, то очевидно выбор оборудования и технологий определяется в первую очередь соображениями защиты информации и отражения внешних и внутренних атак на систему с целью завладения данными, исправления и (или) уничтожения данных, а также с целью несанкционированной персонализации карт. Политическая целесообразность — это тот случай, когда должна быть наиболее четко сформулирована цель, если мы хотим адекватную и эффективную персонализацию, потому, что например обеспечение «мгновенного тиража» агитационных материалов и априорное владение готовыми производственными мощностями для получения выгодного государственного заказа — заведомо разные задачи, зачастую требующие специфических технологий и методов решения. Наиболее сложной является задача создания персобюро для бизнеса. Не секрет, что даже у крупнейших и стабильнейших потребителей персонализации на рынке зачастую не только диаметрально противоположные решения по выбору между персонализацией «inhouse» — т. е. у себя (IH) и «outsourcing» — на стороне (OS). Более того, отмечено, что в последнее время яростные адепты одного и другого пути все чаще либо меняют его на противоположный либо смягчают строгость своих внутренних канонов, допуская присутствие противоположного подхода для решения специфических задач или для подстраховки по обьемам выпуска карт.
Можно смело утверждать — однозначно коммерчески оправдана IH персонализация для очень больших обьемов в десятки миллионов карт в год при условии развивающегося и функционально изменчивого бизнеса. Также персобюро обычно удачно дополняют производство карточек тем более, что в последнее время появились успешные опыты проникновения персонализации внутрь технологии производства самой карты («социальная карта Москвича» от компании РОЗАН, национальная идентификационная карта гражданина Народной Республики Китай). Аналогично для эмиссии менее 10 тысяч не суперсекретных, суперэлитных и т. д. супер-карт нет смысла создавать свое персобюро, разумно воспользоваться услугами на стороне — OS. Большинство же эмитентов карт должны искать решение в сочетании IH и OS.
Для поисков наилучшего решения необходимо максимально тщательно описать возможные количественно-временные характеристики своего карточного бизнеса на ближайшие N лет. Затем определить соответствующее затраты на здание, оборудование, программы и технологии, персонал. При решении этой задачи необходимо не только просчитать несколько технологий, но и обязательно оценить стоимость ущерба при возникновении форс-мажорных ситуаций, как со стороны рыночных бизнес-задач, так и внутренних проблем, связанных с утратой доверия персонала и возможными срывами поставок карт, расходных материалов, информации, неисправностью оборудования.
Затраты на здание имеют свою специфику, состоящую в том, что необходимо иметь три типа шлюзов — для людей, для автомобилей, для документов и мелких отправок; здание должно быть в длительной аренде или собственности; информация о жителях и юридических лицах в радиусе 150 метров не должна вызывать настороженности с криминальной точки зрения.
Управляемость и информационная безопасность персонализации
Как известно, «каркас безопасности», физически охватывающий весь объем помещения банковского персобюро, сертифицированного на эмиссию карт VISA и MasterCard, — это толстые стальные прутья, вмонтированные в стены, пол и потолок через каждые 15 сантиметров площади. Что же играет роль аналогичного «каркаса» информационной безопасности и оперативного управления персобюро? Что делает персобюро защищенным от злоупотребления конфиденциальной информацией, обеспечивает работу разнообразных устройств персонализации в единой системе, организует процессы персонализации и делает их управляемыми? В этом разделе речь пойдет об информационной системе Octopus, которая создана для централизованного управления, учета, планирования, контроля и обеспечения информационной безопасности персонализационного бюро.
Новые условия работыЕсли в 90-е годы XX в. объемы эмиссии банка могли достигать 10 тыс. карт в месяц, то теперь ведущие персонализационные центры выпускают более 10 тыс. карт в час — как видно, потребности рынка возросли более чем на два порядка. Если раньше работу с чувствительными к компрометации данными можно было доверить двум-трем надежным и близким людям, то сегодня собственники бизнеса предъявляют жесткие требования к организации информационного обмена внутри банка и ответственности его сотрудников. Банки повсеместно внедряют PCI DSS, в связи с чем их персонализационные бюро должны удовлетворять целым томам требований к организации операционной деятельности и информационной безопасности, и это соответствие должно успешно подтверждаться в ходе процедур технического аудита и сертификации.