Процессинг требования

Создание процессингового центра

Создание собственного процессинга (Payment Processing Clearing House) дорогой проект. Создание собственного процессингового центра электронных платежей можно разделить на несколько основных этапов, каждый из которых требует участия высококлассных специалистов в различных областях. Этапы эти следующие:

3. Договоренности с банками и другими процессингами

Как видно сложность переговоров между провайдерами электронной коммерции связана с требованием постоянно учитывать технические особенности бизнеса, однако это еще не все. Важнейшей составляющей переговорного процесса является торговля по комиссиям, которые также жестко привязаны к взаимным юридическим санкциям и техническим способам их осуществления.

4. Создание и интеграция программного комплекса

Сюда входят создание вебсайта будущей системы, разработка бизнес-логики, реализация биллинговых серверов, выбор юрисдикции для серверов, их закупка и размещение, пусконаладочные работы, разработка мобильных приложений, период бета-тестирования и процессы параллельной интеграции с прочими платежными системами и банками.

5. Организация службы онлайн поддержки пользователей

Совершенно необходимое мероприятие, более того наличие такой службы поддержки является одним из требований в процессинговых лицензиях разных государств. Поддержка должна работать как минимум на английском языке.

6. Маркетинг, продвижение продукта на рынке

Мало создать продукт, нужно его еще продать. Маркетинг является наиболее затратной частью всего мероприятия. Сегодня ситуация такова, что на всех рынках уже существует несколько крупных игроков, которые вполне удовлетворяют потребности как конечных клиентов, так и продавцов или поставщиков услуг. Место на рынке придется покупать. К счастью прибыльность бизнеса такова, что все инвестиции можно быстро вернуть.

Наши услуги по созданию процессингов

Уважаемые господа, как видите создание собственного процессингового центра является достаточно сложной и дорогостоящей задачей, которую, конечно, лучше доверить профессионалам. Сотрудники нашей компании имеют опыт реализации подобных систем как с юридической, так и с технической, маркетологической и управленческой точек зрения. Мы готовы предложить вам свои услуги в этой области как в качестве консультантов и внешних аудиторов вашего проекта, так и в качестве непосредственных исполнителей. Кроме того возможны иные формы сотрудничества. Обращайтесь.

Собственный процессинг. Этапы создания

Для лучшего понимания комплексности вопроса, имеет смысл рассмотреть основные этапы создания центра процессинга платежей более подробно:

1. Получение процессинговой лицензии

Как и в случае с созданием банков ситуация с получением процессинговых лицензий ухудшилась практически везде. Средняя только официальная составляющая стоимости лицензии в классических оффшорах, а также на Кипре в Гонконге, Израиле колеблется между 100 и 300 тысячами долларов. Важно понимать, что «официальная» составляющая — это меньшая часть фактических затрат. К сожалению, практический опыт показывает, что в действительности по различным причинам (коррупция в комиссиях по финансовому контролю, несовершенство законодательства требующая показывать обороты еще несуществующего бизнеса и прочие неприятности) реальный бюджет этой части мероприятия обычно в 3-5 раз больше.

2. Закупка модулей шифрования

Способы обеспечения консистентной, транзакционной и защищенной передачи финансовых данных на первый взгляд являются исключительно вопросом находящимся в области информационных технологий, решать который должны программисты между собой. Это не так. К сожалению, разные финансовые институты используют широчайший диапазон внутренних стандартов. Начиная от простейшего VPN-соединения с авторизацией в MySQL в «черных» процессингах, до применения в крупных банках модулей аппаратного шифрования “RECALL” стоимостью порядка 700 000 долларов. Таким образом, юрист ведущий переговоры об условиях сотрудничества должен очень хорошо представлять стоимость и технические детали системной интеграции которые предлагает «старший» контрагент.

Процессинг требования

Наши специалисты дадут вам все консультации по приведению сайта в соответствие с требованиями.

Ecocard выставляет данные требования к любым клиентам, однако существенно ужесточает их по отношению к молодым компаниям. С помощью нашей компании вы пройдете процедуру подключения максимально быстро, с минимальным набором документов и страховочным депозитом.

Преимущества и недостатки AsiaPay

Преимущества AsiaPay:

Требования для подключения к AsiaPay

AsiaPay требует указать следующие сведения при подключении:

Требования по документации:

Услуги, предоставляемые AsiaPay

AsiaPay относится к процессингам MasterCard, что очень выгодно при работе с клиентами из Великобритании и Соединенных Штатов Америки.

AsiaPay предлагает компаниям свой фирменный продукт «Paydollar». С помощью которого компании могут осуществлять зарплатные, комиссионные и другие платежи по всему миру. Это особенно удобно для IT-компаний, имеющих сотрудников-фрилансеров за рубежом. Также с помощью Бизнес-счета под видом зарплат возможен вывод средств из респектабельных юрисдикций.

К другим услугам AsiaPay относятся:

Процессинг требования

Аутсорсинг процессинга становится востребованным

Непрерывность процессинга – один из критериев успешной работы современного банка. В России довольно большое количество организаций предпочитают использовать собственный процессинг, однако времена меняются, и многие задумываются об аутсорсинге, но далеко не все.

Каждый раз, когда речь заходит о процессинге, аналитики говорят, что российский рынок не слишком радужно встречает идею аутсорсинга основной бизнес-функции банка. Это объясняется недостаточным доверием, а также попыткой контролировать все своими силами, и в некоторых случаях такой подход действительно оправдан.

Не давая конкретных прогнозов для России, аналитики уже несколько лет сходятся во мнении, что аутсорсинг становится более востребованным и популярным. И это не удивительно, ведь традиционно работавший in-house рынок постепенно начинает разворачиваться лицом к поставщикам услуг по мере роста затрат на поддержку карточного бизнеса. Так, по оценкам McKinsey, внутренний процессинг может быть рентабельным, только если среднегодовое количество транзакций превышает 500 млн. В противном случае банкам просто необходимо использовать услуги аутсорсинга, считают аналитики.

Процессинг – дорогое удовольствие

Собственный процессинг позволяет банку динамичнее развиваться, быстрее внедрять новые услуги и сервисы, – говорит Сергей Варганов, директор департамента платежных технологий и электронных продаж «РосЕвроБанка». «Но содержание собственного процессингового центра оказывается довольно затратным. Поэтому оптимальным вариантом является грамотный выбор партнера – стороннего процессингового центра. Поэтому нашему банку процессинговые услуги оказывает сторонняя организация», – объяснил он.

В действительности качественный процессинг – это дорогое удовольствие. Классическая архитектура бизнес-систем процессингового центра включает в себя бэк-офис и фронтальную инфраструктуру, взаимодействующую с платежными системами в режиме онлайн. Каждый раз, когда банковская карта проходит авторизацию (в банкомате, устройстве самообслуживания, торговом терминале или на шлюзе в интернете), происходит запрос в процессинговый центр. И, естественно, от него ожидают если не моментального, то максимального быстрого ответа.

«Процессинговые центры работают в режиме 24х7, и к ним предъявляются высокие требования по надежности и безопасности. Обычно такие системы строятся на базе отказоустойчивых программно-аппаратных комплексов ведущих производителей с использованием технологий кластеризации и гео-резервирования, – комментирует Алексей Демидов, генеральный директор в «Астерос Лабс». – Поэтому аутсорсинг выгоден в том случае, если банк хочет сосредоточиться исключительно на профильном бизнесе, а не создавать штат дополнительных ИТ-специалистов, которые должны разбираться в системах и приводить их в соответствие требованиям международных ассоциаций. Привлечение аутсорсера позволить снизить эти нагрузки, а заодно и операционные, и юридические риски, связанные с поломкой оборудования, потерей данных, взломом систем».

Все компоненты процессингового центра должны быть выполнены на высоком уровне, так как для банка несложно оценить прямые финансовые потери от каждой секунды простоя или задержки в работе процессинга. А сезонные пиковые нагрузки на банкоматную сеть могут потребовать серьезного «запаса прочности» от ИТ-систем.

Всплески обращений к процессингу в праздники

Источник: Мультикарта, 2012

Для развертывания мощных систем обработки платежной информации используются современные СУБД, способные обеспечить достаточное быстродействие при большом количестве операций, рассказывает Андрей Новиков, ведущий системный консультант в Hitachi Data Systems. «Подобные решения должны строиться на базе максимально эффективной и производительной аппаратной платформы. С точки зрения обеспечения производительности дисковых систем мы предлагаем использовать для высоконагруженных приложений решение на базе флэш-памяти. Если же говорить об организации серверных мощностей, то мы рекомендуем использовать для процессинга решения на базе процессоров Intel Xeon E-7 и поддерживающую технологию объединения вычислительных ресурсов Intel SMP. Это позволяет создавать мощные 4- и 8-процессорные серверы и развертывать на этой аппаратной платформе наиболее требовательные к ресурсам приложения», – комментирует он.

«Помимо вложений в компьютеры и программное обеспечение также требуются вложения в инфраструктуру – помещения, источники бесперебойного питания, системы кондиционирования серверных помещений, каналы связи, а также квалифицированный персонал. За всем этим стоит определенная экономика, которая определяет стоимость обработки одной операции. Чем крупнее система и чем больше операций она совершает – тем дешевле выходит одна транзакция. Именно по этой причине существуют специализированные процессинговые компании, которые предоставляют свои услуги банкам, а банки этими услугами охотно пользуются», – говорит Андрей Грачев, директор департамента карточных и дистанционных технологий «Росбанка».

Другие статьи:  Заявление при приеме на работу в прокуратуру

In-House или аутсорсинг?

Согласно мировой практике, собственные процессинговые центры создают только крупные банки, для которых важен имиджевый эффект, а также те, для кого карточный процессинг является основным видом бизнеса. В их случае процессинговый центр — это не просто затратная функция по поддержке бизнес-операций, а уникальный инструмент ведения бизнеса. В таком случае собственный процессинговый центр дает возможность разрабатывать новые банковские продукты и услуги, а значит – получать прибыль.

«Собственное решение более мобильно и дает большие возможности за счет интеграции с другими системами. В настоящее время это приобретает все большее значение, так как банки предлагают клиентам пакетные комплексные решения, включающие карточные составляющие, – говорит Валентина Кузьмина, директор департамента платежных карт «Промсвязьбанка». – Чтобы обеспечить работу внутреннего процессингового центра, мы используем только самое современное оборудование и технологии, обеспечиваем полное резервирование систем и следим за соблюдением стандартов безопасности и требований к карточному процессингу со стороны платежных систем».

Таким образом, любой процессинговый центр должен удовлетворять определенным стандартам логической и физической безопасности, наиболее известным из которых является PCI DSS. Однако существует целый ряд других стандартов и требований платежных систем, а также рекомендаций ЦБ РФ. Для обеспечения соответствия в процессинговых центрах используется комплекс организационных и технических решений. Более того, сегодня система банковского процессинга должна регулярно проходить аудиты на соответствие индустриальным стандартам, а также иметь процедуры обеспечения непрерывности деятельности (BCP – Business Continuity Plan) и восстановления в случае инцидентов и катастроф (DRP – Disaster recovery Plan).

От инфраструктуры требуется высокий уровень надежности. Как отмечает Павел Пономарев, системный инженер подразделения IT Business компании Schneider Electric: «В дополнение к великолепно обученному персоналу, совершенному программному обеспечению и четко прописанным должностных инструкциям банкам нужно обеспечить минимальное время простоя и оперативное восстановление в случае отказа какой-либо из подсистем. Данная задача решается резервированием, причем степень резервирования, очевидно, подбирается исходя из стоимости простоя».

Впрочем, сложность создания собственного процессинга заключается не только в необходимости содержать отдельный штат ИТ-специалистов. Помимо этого существует целый перечень требований по организации регламентов, обеспечению безопасности и прочим факторам.

«Свой процессинг выгодней использовать в случае реализации эксклюзивных функций на его базе. В случае, если внешний процессинг может предложить функции, внедрение которых дорого или сложно реализовать самостоятельно, то становится выгоден аутсорсинг данных услуг. В выборе процессинга приходится всегда балансировать три параметра: функционал, стоимость, скорость запуска услуг», – говорит Ксения Чаплыгина, директор по маркетингу и PR процессинговой компании MainPay.

Ситуация на рынке

Сегодня на российском рынке можно выделить две тенденции, причем направлены они противоположно друг другу. С одной стороны, многие банки предпочитают уходить к специализированным подрядчикам, чтобы снизить стоимость обработки транзакций. В прессе все чаще появляются сообщения о том, что тот или иной банк уходит к сторонним процессинговым компаниям – например, в этом году «Совкомбанк» передал обработку своих транзакций центру «Карт-Стандарт». Питерские банки ВЕФК и ПСБ также имели свой процессинг, но решили отказаться от столь дорогостоящего удовольствия.

Рост числа транзакций и терминалов, 2012

Источники: Карт-Стандарт, Мультикарта, 2012

Тем временем некоторые банки продолжают создавать свои процессинговые центры, и в основном это связано с амбициозными планами развития, которые не могут удовлетворить аутсорсинговые компании. Например, «Юниаструм Банк» в июле 2013 г. перешел на новый модернизированный процессинг, чтобы предложить клиентам более серьезную защиту, уникальные услуги SMS-банкинга и т.д. Конечно, этого нельзя сказать обо всех поставщиках, например, банк ВТБ создал компанию «Мультикарта», которая обеспечивает мощнейший процессинг и обслуживает несколько десятков банков. Однако в России даже такие кредитные организации, как небольшой банк «Александровский» из Санкт-Петербурга, в прошлом году внедрил свой процессинг, чтобы развивать банкоматную сеть, состоявшую на тот момент из 25 банкоматов. Таким образом, все зависит от амбициозности планов правления.

PCI DSS и требования от процессинга

Форумчане, очень нужен совет от специалистов, знакомых с PCI DSS не по наслышке.
Банк, осуществляющий для нас процессинг, нам прислал письмо в котором предлагает дать доступ до всего телекоммуникационного оборудования, пропускающего трафик от банкомата до процессингового центра. Обосновывается требованием Стандарта PCI DSS.версия 1.2 (п.2.2 ).

У нас законность данного требования вызывает сомнения,
откуда следует, что именно ПЦ должен контролировать весь путь прохождения транзакции? Разве нет вариантов с разделением зон ответственности?
Мы такого требования в тесте Стандарта не видим.
К тому же выполнение данного требования влечет за собой большие финансовые затраты (на закупку дополнительного оборудования).

Важны ваши мнения о законности таких требований

  • Регистрация: 17.03.2011
  • Сообщений: 127

Мне кажется, тут сложно говорить о законности, т.к. данный стандарт никаким боком не относится к законодательству РФ, это исключительно требование МПС.

А вы сами провайдер?

  • Регистрация: 02.12.2010
  • Сообщений: 1916

  • Регистрация: 01.10.2008
  • Сообщений: 14

  • Регистрация: 02.12.2010
  • Сообщений: 1916

Irina_V, тут выходит тонкий момент:
Наши устройства заведены в процессинге с БИН банка, осуществляющим процессинг.
то есть находятся в зоне ответственности спонсора. Однако в стандарте указания на необходимость доступа в
телекоммуникационное оборудование нет, как Вы верно видите. Более того, непосредственный доступ со стороны спонсора противоречит требованию п.1.2 Стандарта.

и, да, мы с сего года работаем в рамках стандарта 2.0

Варианты с разделением — Вы осуществляете мероприятия для соответствия сетевого периметра требованиям стандарта, разрабатываете все необходимые процедуры, выполняете предписанные стандартом действия, а в случае on-site аудита спонсора предоставляете для проверки копии документов и отчётов.

Свириденко: банки все чаще отдают процессинг на аутсорсинг

О последних тенденциях на рынке процессинговых услуг в интервью РИА Новости рассказывает генеральный директор процессинговой компании «МультиКарта» (дочерняя компания банка ВТБ) Кирилл Свириденко.

Что сегодня происходит на рынке процессинговых услуг? Отразились ли на нем изменения внешней экономической среды?

— Нестабильность на рынке заставляет бизнес пересматривать стратегии, менять подходы, работать над повышением эффективности процессов, все больше задумываться о минимизации издержек. И процессинговый рынок — не исключение. Наблюдается четкая тенденция — банки и компании стремятся избавляться от несвойственных непосредственно их бизнесу процессов и отдавать их на аутсорсинг. Это вполне объяснимо, ведь, к примеру, содержание собственного процессингового центра — довольно дорогостоящий проект, который требует постоянных инвестиций. Если посмотреть на структуру затрат на процессинг «in-house», то «железо» и программное обеспечение — это всего лишь 30% издержек. Остальные 70% — это так называемые сопутствующие, текущие расходы: на развитие сервисов и технологий, прохождение аттестаций, обеспечение требований безопасности, в том числе в части сохранности персональных данных, заработную плату, повышение квалификации персонала и так далее. Именно поэтому банки всё чаще предпочитают отдавать процессинг на аутсорсинг. К примеру, наша компания на сегодняшний день является процессинговым центром для более 50 банков, в том числе группы ВТБ в России и в СНГ.

Бывают ли ситуации, когда передавать услуги процессинга на полный или частичный аутсорсинг нецелесообразно?

— Любой проект, в том числе по созданию процессинга, всегда нужно тщательно просчитывать. Возможно, в каких-то случаях процессинг «in-house» окажется в финансовом плане для компании интереснее, чем аутсорсинг. Но нужно понимать, что одних математических вычислений мало — необходимо также внимательно проанализировать все возможные риски: будет ли собственный процессинг отвечать всем требованиям компании, сможет ли обеспечить высокий уровень сервиса для клиентов, сможет ли постоянно развиваться и, самое главное, круглосуточно бесперебойно работать? Ведь цена ошибки в финансовом секторе слишком высока — всего один технологический сбой может очень дорого обойтись банку.

На рынке есть пример того, как один из банков, нарастив хорошие объемы, решил перейти на собственный процессинг. В итоге, через какое-то время он отказался от этой идеи и вернулся на обслуживание в свою процессинговую компанию. Это является подтверждением того, что процессинг «in-house» — сложный, капиталоемкий проект.

Другие статьи:  Что такое неизмеряемые требования

Хотелось бы подчеркнуть, что, конечно же, выбор есть всегда, и он всегда остается за клиентом. Это как со стрижкой: можно научиться и подстричься самому, а можно обратиться к профессионалу. Все зависит от того, какие задачи банк перед собой ставит, и какого результата хочет достичь. Считаю, что каждый все-таки должен заниматься своим делом.

Многих беспокоит вопрос сохранения персональных данных при передаче процессинга на аутсорсинг…

— Вопрос сохранения персональных данных, как и любой другой процесс, никак не связан с тем, занимаются ли им внутри компании или на аутсорсинге.

Думаю, со мной многие согласятся, что процессинг «in-house» не является гарантией сохранности персональных данных. Все зависит от того, как выстроен бизнес-процесс и, кто им управляет. При аутсорсинге процесс находится под управлением профессионального участника рынка.

Каковы сегодня тенденции на самом рынке процессинга? Идет ли здесь активная «чистка» как, например, на банковском рынке?

— Стресс в экономике способствует повышению конкуренции на финансовом рынке, банки постоянно работают над повышением качества услуг для клиентов. Поэтому и требования к процессинговым компаниям с каждым днем становятся все больше и жестче. Это, в свою очередь, заставляет процессинги также держать себя в тонусе: постоянно анализировать рынок, выявлять тенденции и уже сегодня работать над «завтрашними» потребностями банков.

Что касается «чистки» на процессинговом рынке, то здесь она не так ярко выражена, как, к примеру, на банковском рынке — на процессинговом рынке абсолютно другая специфика. И все же среди процессинговых компаний, также как и среди игроков в других отраслях, есть как сильные, так и более слабые участники. Но бизнес всегда тянется к сильным партнерам, а в нестабильные времена особенно — это закон.

Что, по вашему мнению, ждет платежный рынок в этом году и в ближайшие несколько лет?

— Поскольку оплата наличными — это вчерашний день, а платежи с мобильного телефона, планшетов и прочих гаджетов с каждым годом все больше интегрируются в нашу жизнь, развитие мобильных платежных сервисов, пожалуй, будет оставаться самой главной тенденцией.
Также в сфере интересов процессингового рынка будет развитие бесконтактных платежей. В России уже есть примеры успешно реализованных проектов в этой области, например, установка турникетов для приема карт MasterCard PayPass/Visa PayWave в московском метрополитене. В его реализации участвовали, в том числе, компании группы ВТБ.

Еще одним перспективным направлением являются технология e-invoicing, которая представляет собой проведение онлайн-оплаты за товары и услуги через выставленные покупателю электронные счета, размещенные по специальной ссылке в Интернете. В настоящее время мы прорабатываем эту технологию с нашими партнерами.

Реализация сервиса «видеобанкинг» — также важный, необходимый шаг не только для банков и их клиентов, но и в целом для развития отечественного банковского рынка. Он позволит российским банкам значительно увеличить доступность услуг для клиентов, повысить уровень их обслуживания, а также сократить расходы на содержание банковских отделений и увеличить доходность от кросс-продаж.

А как обстоят дела с киберрисками?

— На сегодняшний день одним из самых подверженных кибератакам продуктов являются банковские карты. К наиболее распространенным угрозам можно отнести попытки злоумышленников обманным путем получить карточные данные у держателей карт — фишинг и скиминг, а также атаки на инфраструктуру, которая обрабатывает данные платежных карт.

Несмотря на то, что существует большое количество разных видов атак, современные банковские платежные технологии надежны, а большая часть мошенничеств происходит по причине несоблюдения правил безопасности самими держателями карт — передача PIN-кода, CVV и прочих данных третьим лицам, осуществление интернет-платежей через непроверенные платежные сайты и так далее.

На каких направлениях работы сосредоточится ваша компания в текущем году?

— Мы продолжим активно работать над развитием технологий, обслуживанием он-лайн платежей, развитием карточных продуктов. Также будем участвовать как в крупных проектах отдельных финансовых структур, среди которых интеграция Банка Москвы в состав банка ВТБ, создание Почта-Банка и др., так и в глобальных проектах, таких как развитие национальной платежной системы.

Процессинг требования

Некоторое время назад на Хабре уже мелькали посты о работе банкоматов: один и два, но оба они описывали принципы работы банкоматов и вообще карточного процессинга весьма поверхностно.
Для интересующихся под катом много подробностей работы карточного процессинга банка (много букв).

Как выглядит упрощённая схема работы работы процессингового центра банка:

FrontEnd — отвечает за online сообщения: общение с банкоматами и POS-терминалами, передача авторизаций карт в VISA.
BackEnd — отвечает за offline: закрытие операционного дня, обмен финсообщениями с VISA.
HSM (Hardware Security Module) — модуль работы с ключами безопасности (подробнее описано ниже).

Все шифрование производится с помощью алгоритма 3DES.

Подключение к VISA

Банк имеет два типа подключения к VISA:

  • online
  • offline
Online-подключение

Транспортный уровень
Подключение к VISA осуществляется через вполне конкретного провайдера, в 2006 году это был Equant и его партнёр в России — Golden Telecom, как обстоят дела сейчас — я не в курсе.

Получается, что VISA доступна в локальной сети одного провайдера. Это обязательное требование VISA. Для подключения провайдер прокладывает в банк собственный оптоволоконный кабель для основного канала связи и для резервного. Устанавливает конечные маршрутизаторы и выделяет по одному порту на каждом (основной и резервный). Управление маршрутизаторами осуществляется только провайдером.

Итак, связь транспортного уровня с VISA установлена, далее прикладной уровень.

Прикладной уровень
Связь прикладного уровня осуществляется по специальному протоколу, разработанному в VISA в незапамятные времена.

Кроме всего этого все сообщения должны передаваться зашифрованными. Для этого специальные люди — офицеры безопасности — генерируют ключевые последовательности заданной длины на HSM и результаты отправляются в VISA.

Оффлайн-подключение

Оффлайн-подключение — это не что иное, как обмен файлами с информацией обо всех транзакциях, совершённых за операционный день. То есть, если в банкоматах банка «А» были обслужены карты не банка «А». Подробнее об этом чуть ниже в сценарии «Чужой клиент в нашем АТМ».

Стоит немного рассказать про HSM.

HSM — это классический чёрный ящик. При инициализации он генерирует закрытую и открытую компоненту мастер-ключа банка. Закрытую компоненту никто никогда не видит, она всегда остаётся в памяти HSM.

Сам модуль имеет многочисленные уровни защиты от взломов: программного и физического. При малейшем намёке на компрометацию ключа память модуля самоуничтожается без возможности восстановления.

Три части открытой компоненты мастер-ключа записываются на 3 магнитные карты и выдаются офицерам безопасности банка.

Итак, связь с VISA установлена, и всё работает. Теперь нам надо выпускать карты.
При вступлении в VISA банку выдаются так называемые БИНы (Bank Identification Number): то есть подмножества номеров карт доступных для выпуска. Для VISA они всегда начинаются на 4.

БИНы распределены по карточным продуктам, например:

  • VISA Classic: 400001
  • VISA Gold: 400002
  • VISA instant issue: 400003
  • и так далее

Формат номера выглядит так: допустим, у нас есть карта с номером: 4408 0412 3456 7890

Номер карты состоит из:

  • 4ХХХХХ — код VISA
  • 4408(04) — код банка (код карточного продукта)
  • 12 3456 7890 — номер лимита авторизации. Подробнее о лимите авторизации ниже.

Для интересующихся вот здесь описано, как происходит валидация номера карты.

Для каждого БИНа генерируется пара ключей: IWK (issuer working key) и AWK (acquirer working key). Процедура генерации и передачи результата в VISA аналогична описанной выше.

После этого всё это добро прописывается в FrontEnd и BackEnd процессинга. В BackEnd для выпуска карт и их эмбоссирования, вo FrontEnd для обслуживания авторизаций.

Теперь у нас есть связь с VISA и есть выпущенные карты; другими словами, мы осуществили эмиссию карт. Нам осталось сделать эквайеринг.

Не буду повторяться и описывать, что находится внутри банкомата, это уже описали здесь. Скажу только, что протокол NDC+ (NCR Direct Connect) разработан чёрт знает сколько лет назад корпорацией NCR — одним из ведущих производителей банкоматов на сегодняшний день.

Широко известны три производителя:

  • NCR
  • Wincor Nixdorf GmBH (бывший Siemens Nixdorf)
  • Diebold (бывший IBM)

Да, и Siemens и IBM когда-то давно производили банкоматы, но впоследствии продали этот бизнес Wincor Nixdorf и Diebold соответственно.
Ваш покорный слуга является сертифицированным инженером как раз таки Wincor Nixdorf. Однако, у нас был один стародавний IBM, который был выпущен ещё до продажи бизнеса и который работал.
Не скажу, что работал он как часы, ибо его всё время приходилось подкручивать и подлаживать, чтобы он хоть как-то дышал, но для него можно было купить запчасти. Правда, стоили они в три раза дороже чем аналогичные для Wincor Nixdorf.
Итак, мы выяснили что есть два протокола по которому работают банкоматы. Мне довелось работать лишь с NDC+, про DDC я только слышал, но никогда не видел.
Поскольку я близко знаком только с Wincor Nixdorf, предположим, что наш банк купил именно их.

Другие статьи:  Пакет документов на сокращение работника

Когда на банкомат поставлен софт, который управляет всеми его многочисленными устройствами — надо подготовить банкомат к работе.

Готовим банкомат

Банкомат надо обучить выдавать купюры. Для этого есть специальная процедура: банкомат отсчитывает по 10 листов из каждой кассеты и предлагает оператору ввести реальное количество отсчитанных листов. Если реальное количество отличается — банкомат откорректирует оптопары в тракте выдачи и предложит повторить процедуру.

Из опыта у меня всего пару раз банкомат ошибался, то есть, как правило, они с завода уже неплохо откалиброваны.

Ключи шифрования

В банкомат загружают 2 ключа шифрования:
мастер-ключ (MASTER KEY) — используется для шифрования ПИН-блока введённого клиентом.
коммуникационный ключ (COMM KEY) — для шифрования пакета к FrontEnd процессинга.

На HSM генерируются открытая и закрытая компонента каждого ключа, после чего открытая компонента прописывается во FrontEnd, а закрытая загружается в банкомат.
Оба ключа загружаются в ПИН-клавиатуру (EPP Encrypted Pin Pad) и хранятся только там. По сути EPP — это такой маленький HSM, который не умеет генерировать ключи, но умеет очень хорошо их хранить. Когда я плотно работал с банкоматами — EPP имели 7 ступеней защиты от физического проникновения.

После этого прописываем адрес процессинга, настраиваем VPN или что там придумают бойцы телекоммуникаций, и можно загружать сценарий работы банкомата.

Про сценарий уже было сказано в статье, на которую я ссылался, хочу лишь немного добавить.
Весь сценарий банкомата основан на так называемых ФИТах (Financial Institution Table).
FIT — не что иное, как БИН банка выданный VISA.
Например: для нашего родного банка мы позволим делать переводы с карты на карту, возможность просмотреть детали по вкладу и внести наличные на карточный счёт в дополнение к обычным возможностям (баланс, выдача наличных), а для всех остальных только баланс и выдача.

Таким образом, мы должны загрузить неколько ФИТов в банкомат:

  • 400001, 400002, 400003 — позволим всё и вся
  • 999999 — только выдача и баланс

Сценарий проверяет номер карты клиента и работает по первому совпадению в ФИТ-таблице.

Итак, мы полностью подготовили весь комплекс к работе, осталось самое главное: совершить транзакцию.

Самый простой сценарий: наш клиент в нашем АТМ:

  1. Клиент вставляет карту в АТМ;
  2. АТМ видит что клиент наш и выдаёт ему опции;
  3. Клиент выбирает: выдача, 100 рублей
  4. Банкомат шифрует ПИН-блок мастер-ключом;
  5. Шифрует всё сообщение коммуникационным ключом и отправляет в FrontEnd;
  6. FrontEnd получает сообщение;
  7. по ID определяет банкомат (каждый банкомат подключается на свой собственный порт, так что ID получить проблем никаких);
  8. Расшифровывает сообщение открытой компонентой коммуникационого ключа;
  9. по БИН понимает, что карта наша;
  10. Расшифровывает ПИН-блок открытой компонентой мастер-ключа;
  11. Обрабатывает запрос на списание (есть ли деньги, не исчерпаны ли лимиты и всё такое прочее);
  12. Зашифровывает сообщение открытой компонентой коммуникационого ключа;
  13. Отправляет банкомату;
  14. Банкомат расшифровывает сообщение;
  15. Сообщает результат клиенту;
  16. Уведомляет хост, что деньги выданы (так же с шифрованием и всем прочим).

Стоит отметить, что всё шифрование на стороне хоста осуществляется при помощи HSM.
То есть шаги 8 и 9 в деталях выглядят так:

  1. Хост отправляет зашифрованный ПИН-блок, мастер-ключ и контрольную сумму на HSM;
  2. HSM расшифровывает ПИН-блок;
  3. Сверяет контрольную сумму после расшифровки с присланной;
  4. Зашифровывает открытый ПИН-блок при помощи IWK и считает контрольную сумму;
  5. Если контрольные суммы открытого ПИН-блока и зашифрованного IWK равны — ПИН введён верно.

Клиент получает свои 100 рублей и уходит довольный, однако это только половина дела.

В этот момент FrontEnd установил клиенту hold — заморозил на его лимите авторизации (доступная к снятию сумма) 100 рублей, но его текущий счёт никак не изменился.

Здесь стоит немного пояснить: в процессинге нет счетов клиентов — движение денег происходит по так называемым «лимитам авторизации». Фактически, лимит авторизации — не что иное, как карточный счёт клиента, но он никак не фигурирует в плане счетов и бухгалтерском балансе.

Другими словами, лимит авторизации есть техническая сущность, которая отражает состояние реального текущего счёта клиента в процессинге. Отличие лимита авторизации в том, что:

  1. на лимит авторизации действуют лимиты процессинга: лимит на единоразовую выдачу, лимит на ежедневную выдачу и так далее;
  2. лимит авторизации может изменяться в течение операционного дня, текущий счёт только в момент закрытия операционного дня.

Вечером текущего дня или утром следующего дня (но, как правило, это делается ночью) закрывается операционный день. Все авторизации карт и суммы холдов выгружаются из FrontEnd и загружаются в BackEnd, где и происходит движение денег по текущим счетам клиентов. После этого финальные отчёты выгружаются в Автоматизированную Банковскую Систему, где хранятся текущие счета клиентов. На основании этих отчётов происходит реальное движение денег, а также во FrontEnd — новые лимиты авторизации (наш клиент из примера выше получает новый лимит авторизации, который меньше на 100 рублей).

Теперь сложнее: Чужой клиент в нашем АТМ:

  1. Клиент вставляет карту в АТМ;
  2. АТМ понимает что клиент чужой, показывает ему только баланс и выдачу;
  3. Клиент выбирает: выдача, 200 рублей
  4. АТМ шифрует ПИН-блок мастер-ключом;
  5. Шифрует сообщение коммуникационным ключом;
  6. Отправляет сообщение на FrontEnd;
  7. FrontEnd расшифровывает сообщение открытой компонентой коммуникационого ключа;
  8. Определяет что БИН не наш и надо его отправить в VISA;
  9. FrontEnd зашифровывает сообщение компонентой AWK (так как мы в данном случае эквайер) и отправляет в VISA;
  10. VISA получает от нас сообщение, расшифровывает его второй компонентой нашего AWK и по БИНу определяет какого банка это карта;
  11. Зашифровывает сообщение компонентой IWK (так как обращается к эмитенту) того банка, который выпустил эту карту и отправляет сообщение;
  12. Банк-эмитент получает сообщение:
  13. Расшифровывает сообщение при помощи закрытой компоненты IWK (тут сразу понятно что карта наша, БИН смотреть нет смысла);
  14. Расшифровывает ПИН-блок;
  15. Авторизует карту (даёт добро на выдачу 200 рублей);
  16. Зашифровывает сообщение закрытой компонентой IWK и отправляет в VISA;
  17. VISA расшифровывает открытой компонентой IWK банка-эмитента, зашифровывает открытой компонентой AWK нашего банка и отправляет нам;
  18. Мы расшифровываем сообщение закрытой компонентой AWK;
  19. Записываем результат транзакции;
  20. Зашифровываем открытой компонентой коммуникационого ключа нужного банкомата и отправляем ему сообщение;
  21. Банкомат получает сообщение, расшифровывает его и выдаёт клиенту деньги;
  22. Уведомляет хост, что деньги выданы (опять же, шифрую все сообщения);
  23. Мы уведомляем банк-эмитент, что деньги успешно выданы;

Это была только авторизация, то есть реальных денег никто никому не перечислил. Теперь нам надо получить финсообщение об этой транзакции и получить возмещение от другого банка: 200 рублей наших денег, которые мы выдали его клиенту.

  1. Мы отправляем в VISA отчёт (оффлайном, медленно и печально) о том, что не наш клиент с номером карты таким-то получил 200 рублей в нашем банкомате;
  2. VISA отправляет требование банку-эмитенту перечислить нам 200 рублей и ещё 0,5% от суммы транзакции, но не менее $3 самой VISA за то, что она провела транзакцию через себя. Это есть так называемый interchange fee;
  3. Банк-эмитент получает файлы от VISA, закрывает свой операционный день в процессинге, потом закрывает день в Автоматизированной Банковской Системе и переводит через корр. банк VISA на наш счёт наших 200 рублей;
  4. Рассчитывается с VISA (покрывает interchange fee)

Само собой, все такие расчёты осуществляются в долларах, и тут играет роль курсовая разница, но это уже совсем другая история…

UPD: В комментариях, товарищ Spewow привёл ссылку на статью о HSM и криптографии