Проект - Платежные карты: Бизнес-энциклопедия
Управление рисками — заключается в использовании технических средств и организационных процедур, минимизирующих или позволяющих контролировать различные категории рисков.
К техническим средствам управления рисками можно отнести использование программно-аппаратных средств, позволяющих анализировать авторизационный траффик, базу данных с историей транзакций и сообщениями претензионного цикла и на основе правил (rule-based) или нейронных сетей детектировать различного рода атаки и вероятные мошенничества.
К организационно-техническим средствам можно отнести интерфейсы с базами данных международных платежных систем, содержащих информацию о случаях мошенничества и недобросовестной деловой практики, например, System to avoid fraud effectively (SAFE), Member alert to control high-risk (MATCH), National merchant alert system (NMAS).
К организационным средствам управления рисками можно отнести проверку и аттестацию персонала, имеющего доступ к критическим данным.
Безопасность процедур персонализации должна обеспечиваться еще на стадии проектирования центра, исходя из требований последующей сертификации в международных платежных системах. В частности, планировка и конструкция помещений должны предусматривать ряд зон (производственная зона, зона приема-передачи, зона печати ПИН-конвертов, зона хранения и т. п.), оборудованных техническими средствами ограничения доступа, мониторинга и аудита. Особое внимание также должно быть уделено подбору персонала.
Стандарт защиты информации в индустрии платёжных карт (PCI DSS)В 2006 г. Советом по стандартам безопасности индустрии платежных карт (PCI Security Standards Council), образованным пятью ведущими платежными системами American Express, Discover Financial Services, JCB, MasterCard и VISA, был опубликован стандарт защиты информации в индустрии платежных карт — Payment Card Industry Data Security Standard (PCI DSS).
Данный стандарт объединяет в себе требования ряда нормативных документов платежных систем в области защиты информации, в частности:
• Visa Europe & other regions: Account information security (AIS);
• Visa USA: Cardholder information security (CISP);
• MasterCard: Site data protection (SDP).
Требования стандарта распространяются на все компании (процессинговые центры, платежные шлюзы, провайдеры интернет), работающие с международными платежными системами. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей, выполняемые сертифицированными аудиторами.
Стандарт PCI DSS устанавливает следующие области контроля и 12 основных требований, которым должна соответствовать организация для аттестации на соответствие стандарту.
I. Построение и сопровождение защищенной сети
1. Создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей карт;
2. Неиспользование уставленных по умолчанию поставщиками решений системных паролей и иных параметров безопасности.
II. Защита данных держателей карт
3. Обеспечение защиты данных держателей карт в процессе хранения;
4. Обеспечение пересылки данных держателей карт в зашифрованном виде при их передаче через незащищенные и общедоступные сети.
III. Поддержка программы управления уязвимостями
5. Использование и регулярное обновление антивирусного программного обеспечения;
6. Разработка и поддержка защищенных (безопасных) систем и приложений.
IV. Реализация мер по строгому контролю доступа
7. Ограничение доступа к данным по принципу служебной необходимости;
8. Присвоение уникального идентификатора каждому лицу, располагающему доступом к компьютеру;
9. Ограничение физического доступа к данным держателей карт
V. Регулярный мониторинг и тестирование сетей
10: Запись и отслеживание всех сеансов доступа к ресурсам сети и данным держателей карт;
11. Регулярное тестирование систем и процессов обеспечения безопасности.
VI. Поддержание политики информационной безопасности
12. Наличие и исполнение в организации политики информационной безопасности[238].
В приведенном разделе мы вкратце постарались осветить основные аспекты, связанные с обработкой транзакций по банковским картам — технологические вопросы организации процессинга, организационную структуру, процедуры и вопросы безопасности.
Тем не менее, не претендуя на полноту освещения данных вопросов, мы надеемся, что приведенный материал окажется полезным читателю как при общем изучении данного вопроса, так и при реализации конкретных проектов.
Оборудование для обслуживания платежных карт
Терминалы, банкоматы, ПИН-пады являются фронтофисными устройствами для обслуживания банковских карт, которые устанавливаются в торгово-сервисных предприятиях (объединенных в эквайринговые сети платежных систем) и в пункты обслуживания банков (bank branch terminals). Поскольку данное оборудование работает во взаимодействии с центрами авторизации (ЦА), их функциональность во многом зависит от применяемого в ЦА решения (например, если в ЦА предусматривается ведение бонусных счетов программ лояльности клиентов, то в терминале реализуется функционал оплаты с бонусного счета клиента). Ко всем банковским устройствам по приему карт предъявляются особые требования по безопасности, регламентируемые платежными системами обслуживаемых карт. Устройства подлежат обязательной сертификации.
POS-терминальное оборудованиеТорговый терминал для обслуживания карт обслуживается как правило кассиром, но может являться и системой самообслуживания (например, автомат по продаже билетов).
Первыми устройствами для приема банковских карт в торгово-сервисных предприятиях были ручные импринтеры (manual imprinters), которые обеспечивали возможность получения оттиска эмбоссированных данных пластиковой карты (номер карты, дата окончания действия, фамилия держателя) на специальном торговом чеке (слипе), на котором затем указывалась сумма операции и ставилась подтверждающая подпись клиента.
Первым электронным POS-терминалом[239] принято считать устройство, поставленное Visa в 1979 г. в торговую точку. Он был громоздким и неудобным, а время операции по карте на нем доходило до 5 минут.
С тех пор произошла смена многих технологий в различных смежных областях (электронике, криптографии, связи), на смену магнитным картам пришли микропроцессорные, усилились требования по безопасности и времени проведения операций с картами, но не изменилось назначение POS-терминалов — проведение операций оплаты товаров и услуг в торгово-сервисных предприятиях с использованием платежной банковской карты.
При этом главным критерием остается безопасность и скорость обслуживания. Как отмечают эксперты, сокращение времени транзакции всего на 1 секунду может сэкономить крупной сети магазинов крупные суммы только на зарплате кассиров. Эффект же от улучшения впечатлений покупателей еще более значителен. Согласно одному из социологических исследований компании NCR, проведенных в Европе, основным впечатлением от регулярного похода по магазинам для людей становится раздражение, вызываемое очередями, особенно в кассовых зонах супермаркетов. Поскольку в целом уровень жизни все время растет, люди переносят свои положительные впечатления и на все остальные сферы деятельности, и у них формируются завышенные ожидания. В результате, очереди в магазинах их особенно раздражают. В действительности, 54 % европейцев проводят в очередях от получаса до четырех часов еженедельно.
Кроме того, российское отделение платежной системы VISA в письме от 31 января 2007 г. выдвинуло рекомендации по времени транзакции на POS-устройстве: для торговых точек с количеством операций по картам VISA более 750 в месяц установлено максимально допустимое время проведения транзакции не более 30 секунд в случае 90 % операций. Можно предположить, что и остальные платежные системы в скором времени будут контролировать этот важный технический параметр.
Основные типы устройств и их возможности
Типы устройств. Несмотря на общность решаемых задач, спектр POS-терминалов довольно широк, что вызвано прежде всего попытками решить бизнес-задачи продавца (merchant в терминологии международных платежных систем) в привязке к его бизнес-процессам или топологической модели.
Одной из задач продавца является автоматизация торгово-сервисного предприятия. По этому критерию POS-терминалы делятся на обслуживаемые оператором или кассиром (attended) и необслуживаемые (unattended) автоматизированные системы, на которых сам клиент проводит все операции в режиме самообслуживания.