Безопасность процессинговых центров

Таблица 4

         Вендор        Продукт         Платформа       Фронт-офис/
                                                         бэк-офис

ACI Worldwide          BASE-24+CMS Tandem                    F+B

OpenWay                Way 4       Unix/Oracle

Compass Plus           TranzWare   Windows

Euronet Worldwide      ITM/400     AS/400/DB/2

БПЦ                    SmartVista Unix/Oracle

Tieto konts            TransMaster Unix/Tuxedo/Oracle

CardTech               PRIME       Unix,         Windows/
                                   Informix/Oracle

ПСИТ                   SCard       Windows

IPS/     Sonic   GlobalТРИ         Unix
Solutions

ЦФТ                    ЦФТ         Unix, Windows/Oracle

Открытые        системыOST-24     Unix/Tuxedo/Oracle
транзакций

Инверсия               InvoCard    нет данных                 В

R-Style SoftLab        RS-Retail   нет данных

Диасофт                5NT(e)CARD нет данных

Арт                    АртБанк     Windows

РуКард                 СОФИТ       Windows/Oracle            F+B

Следует отметить один примечательный факт - как правило, в продуктах западных производителей термин бэк-офис подразумевает систему управления жизненным циклом карты и расчетов с контрагентами. Начисление процентов, реализация кредитных схем - это прерогатива банковского ритейла. В продуктах отечественных вендоров, как правило, бэк-офис выполняет также функции банковской розницы.
Безусловно, объем данной главы не позволяет остановиться на описаниях отдельных продуктов, поэтому заинтересованные читатели без труда найдут необходимую информацию на сайтах производителей.
Рассмотрим, каким факторам необходимо уделить внимание при подготовке тендерной документации для выбора программно-аппаратной платформы процессиигового центра (табл. 5).

Таблица 5

     Фактор                             Критерии

       1                                    2

АпробированностьКоличество инсталляций.
                Положительный опыт   эксплуатации   продукта в других
                финансовых институтах.
                Сопоставимость характеристик бизнеса (объем эмиссии,
                продуктовый ряд, терминальное оборудование и т.п.) с
                задачами банка

Соответствие    Поддержка стандартов международных платежных систем в
стандартам      части процедур, форматов и протоколов.
                Поддержка   индустриальных   стандартов и протоколов
                подключения терминального оборудования

МасштабируемостьНаличие запаса по производительности для обеспечения
                требований растущего бизнеса.
                Возможность   наращивания    производительности    без
                изменения архитектуры системы.
                Зависимость изменения производительности системы от
                изменения числа и характеристик аппаратных компонентов
                системы    (контроллеров,     процессоров,     модулей
                криптографии и т.п.)

Надежность      Коэффициент     готовности      программно-аппаратного
                комплекса.
                Соответствие   решения    заявленным    производителям
                характеристикам.
                Устойчивость   программно-аппаратной    платформы    и
                архитектуры системы к единичным отказам.
                Предсказуемость поведения системы в условиях высоких
                нагрузок.
                Время восстановления системы после единичного сбоя и
                полного отказа

Безопасность    Поддержка стандартов и рекомендаций платежных систем в
                области безопасности.
                Поддержка требований   международных   и   отраслевых
                стандартов в области защиты информации (защита от
                несанкционированного доступа к системе, устойчивость
                аппаратных и программных компонентов системы к внешним
                воздействиям,   средства   разграничения   доступа   и
                ответственности,         идентификация/аутентификация,
                технические средства аудита и регистрации событий в
                системе, контроль целостности системы и данных и т.п.)

ФункциональностьВозможность   поддержки   терминального   оборудования
                различных производителей.
                Набор поддерживаемых коммуникационных протоколов.
                Поддерживаемый набор транзакций.
                Поддерживаемый набор продуктов.
                Поддерживаемый    набор    методов    авторизации    и
                маршрутизации транзакций.
                Возможность     поддержки      полного      жизненного
                (производственного) цикла для карточных продуктов

Управляемость   Наличие    эффективных    средств    конфигурирования,
                управления и контроля

Качество        Наличие круглосуточной поддержки вендором.
сопровождения   Наличие качественной документации продукта.
                Наличие возможности обучения персонала

Развиваемость   Сопровождение системы разработчиком,   своевременная
                реализация требований и стандартов платежных систем и
                законодательства.
                Возможность развития архитектуры и функционала системы
                для реализации новых продуктов, каналов доставки и
                технологий

Риски           Ресурсы, сроки, бюджет.
                Устойчивость бизнеса контрагентов.
                Наличие поддержки производителя на территории страны
                инсталляции

Необходимым этапом является создание констатирующего документа, отражающего концепцию развития карточного проекта в масштабах банка в целом и процессинговой системы в частности. Документ должен:
- определить цель и масштабы проекта, обозначить его функциональность (поддерживаемый продуктовый ряд, функции, выполняемые процессинговым центром для поддержки эмиссии/эквайринга, список функциональных требований к прикладному программному обеспечению и т.п.);
- констатировать текущее состояние дел по результатам системного обследования (выпускаемые продукты, используемые решения, наличие квалифицированного персонала, существующие ограничения, используемые помещения, коммуникационные ресурсы и т.п.);
- перечислить крупные задачи проекта (инсталляция, запуск персонализации, эмиссия, эквайринг, интеграция с банковской системой, подключение и сертификация интерфейсов к платежным системам);
- обозначить ограничения, при которых задачи будут решаться (необходимость обучения/привлечения персонала, ограничения на используемые аппаратные и коммуникационные платформы, требования по производительности и масштабированию системы);
- указать сроки решения этих задач и исполняющие их подразделения;
- определить необходимые затраты и возможные риски.

Безопасность процессинговых центров

Одним из наиболее важных практических аспектов функционирования процессингового центра банка является обеспечение его безопасности. В отличие от обычных информационных систем процессинговый центр банка содержит информацию о реквизитах, позволяющих получить доступ к деньгам клиентов, и компрометация этих данных может привести к значительным финансовым потерям. Вот почему существенная доля затрат при создании и функционировании процессинга связана с расходами на обеспечение безопасности.
Рассмотрим некоторые аспекты безопасности процессинговых центров.

Транзакционная безопасность

Комплекс мер, направленных на обеспечение целостности информационного обмена между хостами и устройствами, предотвращение фальсификации данных и невозможности получения ПИН-кодов из данных транзакций.

Интересные записи

Содержание раздела

Главная сайта