Организация технологического взаимодействия процессора и служб банка

К оглавлению1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 
17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 
34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 
51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 
68 69 70 71 72 73 74 75 76 77 78 

Повседневная деятельность подразделений процессингового центра и их взаимодействие с финансовыми институтами и платежными системами регламентируется процедурами.

Процедуры процессингового центра должны быть формализованы, утверждены руководителями задействованных подразделений, а также регулярно пересматриваться с определенной периодичностью.

В табл. 8 приведен ряд основных процедур, а также задействованные в них подразделения.

Безопасность процессинговых центров

Одним из наиболее важных практических аспектов функционирования процессингового центра банка является обеспечение его безопасности. В отличие от обычных информационных систем процессинговый центр банка содержит информацию о реквизитах, позволяющих получить доступ к деньгам клиентов, и компрометация этих данных может привести к значительным финансовым потерям. Вот почему существенная доля затрат при создании и функционировании процессинга связана с расходами на обеспечение безопасности.

Рассмотрим некоторые аспекты безопасности процессинговых центров.

Физическая безопасность — подразумевает ограничение доступа неавторизованного персонала на территорию центров обработки данных и персонализации, а также устойчивость указанных зданий к внешним воздействиям. В помещениях и технических зонах должны быть использованы средства контроля доступа (далее — СКД), в зонах особого режима — технические средства охраны и видеонаблюдения.

Организационно-техническая безопасность — подразумевает существование службы офицеров безопасности (security officers). К обязательным мерам относится наличие процедур, регламентирующих жизненный цикл криптографических ключей (key management), наличие и исполнение процедур доступа к данным и криптографической информации, а также процедуры аудита.

В информационной системе процессингового центра должны использоваться средства аутентификации, разграничения доступа и аудита.

Обязательным правилом должно быть наличие раздельных сред разработки, тестирования и эксплуатации приложений, с вынесением среды эксплуатации в отдельный программно-аппаратный комплекс. Все новые программные и технические средства должны предварительно проходить тестирование в специально выделенных средах. Желательно также, чтобы разработкой и сопровождением системы занимались отдельные подразделения процессингового центра.

Транзакционная безопасность — комплекс мер, направленных на обеспечение целостности информационного обмена между хостами и устройствами, предотвращение фальсификации данных и невозможности получения ПИН-кодов из данных транзакций. Технически обеспечивается использованием многоступенчатой системы ключей для шифрования ПИН-блоков (одноразовые сессионные ключи устройств, транспортные ключи для интерфейсов), применением MAC-кодов (Message Authentication Code) для подтверждения целостности сообщений, использованием аппаратных средств шифрования (HSM — Hardware Security Module) для хранения криптографических данных и выполнения операций трансляции и проверки ПИН-кодов.

Важное значение имеет также проверка соответствия данных транзакции данным магнитной полосы карты, а также данным, находящимся в БД процессинга — это позволяет отсекать процедуры подбора карты.

Управление рисками — заключается в использовании технических средств и организационных процедур, минимизирующих или позволяющих контролировать различные категории рисков.

К техническим средствам управления рисками можно отнести использование программно-аппаратных средств, позволяющих анализировать авторизационный траффик, базу данных с историей транзакций и сообщениями претензионного цикла и на основе правил (rule-based) или нейронных сетей детектировать различного рода атаки и вероятные мошенничества.

К организационно-техническим средствам можно отнести интерфейсы с базами данных международных платежных систем, содержащих информацию о случаях мошенничества и недобросовестной деловой практики, например, System to avoid fraud effectively (SAFE), Member alert to control high-risk (MATCH), National merchant alert system (NMAS).

К организационным средствам управления рисками можно отнести проверку и аттестацию персонала, имеющего доступ к критическим данным.

Безопасность процедур персонализации должна обеспечиваться еще на стадии проектирования центра, исходя из требований последующей сертификации в международных платежных системах. В частности, планировка и конструкция помещений должны предусматривать ряд зон (производственная зона, зона приема-передачи, зона печати ПИН-конвертов, зона хранения и т. п.), оборудованных техническими средствами ограничения доступа, мониторинга и аудита. Особое внимание также должно быть уделено подбору персонала.

Стандарт защиты информации в индустрии платёжных карт (PCI DSS)

В 2006 г. Советом по стандартам безопасности индустрии платежных карт (PCI Security Standards Council), образованным пятью ведущими платежными системами American Express, Discover Financial Services, JCB, MasterCard и VISA, был опубликован стандарт защиты информации в индустрии платежных карт — Payment Card Industry Data Security Standard (PCI DSS).

Данный стандарт объединяет в себе требования ряда нормативных документов платежных систем в области защиты информации, в частности:

• Visa Europe & other regions: Account information security (AIS);

• Visa USA: Cardholder information security (CISP);

• MasterCard: Site data protection (SDP).

Требования стандарта распространяются на все компании (процессинговые центры, платежные шлюзы, провайдеры интернет), работающие с международными платежными системами. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей, выполняемые сертифицированными аудиторами.

Стандарт PCI DSS устанавливает следующие области контроля и 12 основных требований, которым должна соответствовать организация для аттестации на соответствие стандарту.

I. Построение и сопровождение защищенной сети

1. Создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей карт;

2. Неиспользование уставленных по умолчанию поставщиками решений системных паролей и иных параметров безопасности.

II. Защита данных держателей карт

3. Обеспечение защиты данных держателей карт в процессе хранения;

4. Обеспечение пересылки данных держателей карт в зашифрованном виде при их передаче через незащищенные и общедоступные сети.

III. Поддержка программы управления уязвимостями

5. Использование и регулярное обновление антивирусного программного обеспечения;

6. Разработка и поддержка защищенных (безопасных) систем и приложений.

IV. Реализация мер по строгому контролю доступа

7. Ограничение доступа к данным по принципу служебной необходимости;

8. Присвоение уникального идентификатора каждому лицу, располагающему доступом к компьютеру;

9. Ограничение физического доступа к данным держателей карт

V. Регулярный мониторинг и тестирование сетей

10: Запись и отслеживание всех сеансов доступа к ресурсам сети и данным держателей карт;

11. Регулярное тестирование систем и процессов обеспечения безопасности.

VI. Поддержание политики информационной безопасности

12. Наличие и исполнение в организации политики информационной безопасности[238].

В приведенном разделе мы вкратце постарались осветить основные аспекты, связанные с обработкой транзакций по банковским картам — технологические вопросы организации процессинга, организационную структуру, процедуры и вопросы безопасности.

Тем не менее, не претендуя на полноту освещения данных вопросов, мы надеемся, что приведенный материал окажется полезным читателю как при общем изучении данного вопроса, так и при реализации конкретных проектов.

Повседневная деятельность подразделений процессингового центра и их взаимодействие с финансовыми институтами и платежными системами регламентируется процедурами.

Процедуры процессингового центра должны быть формализованы, утверждены руководителями задействованных подразделений, а также регулярно пересматриваться с определенной периодичностью.

В табл. 8 приведен ряд основных процедур, а также задействованные в них подразделения.

Безопасность процессинговых центров

Одним из наиболее важных практических аспектов функционирования процессингового центра банка является обеспечение его безопасности. В отличие от обычных информационных систем процессинговый центр банка содержит информацию о реквизитах, позволяющих получить доступ к деньгам клиентов, и компрометация этих данных может привести к значительным финансовым потерям. Вот почему существенная доля затрат при создании и функционировании процессинга связана с расходами на обеспечение безопасности.

Рассмотрим некоторые аспекты безопасности процессинговых центров.

Физическая безопасность — подразумевает ограничение доступа неавторизованного персонала на территорию центров обработки данных и персонализации, а также устойчивость указанных зданий к внешним воздействиям. В помещениях и технических зонах должны быть использованы средства контроля доступа (далее — СКД), в зонах особого режима — технические средства охраны и видеонаблюдения.

Организационно-техническая безопасность — подразумевает существование службы офицеров безопасности (security officers). К обязательным мерам относится наличие процедур, регламентирующих жизненный цикл криптографических ключей (key management), наличие и исполнение процедур доступа к данным и криптографической информации, а также процедуры аудита.

В информационной системе процессингового центра должны использоваться средства аутентификации, разграничения доступа и аудита.

Обязательным правилом должно быть наличие раздельных сред разработки, тестирования и эксплуатации приложений, с вынесением среды эксплуатации в отдельный программно-аппаратный комплекс. Все новые программные и технические средства должны предварительно проходить тестирование в специально выделенных средах. Желательно также, чтобы разработкой и сопровождением системы занимались отдельные подразделения процессингового центра.

Транзакционная безопасность — комплекс мер, направленных на обеспечение целостности информационного обмена между хостами и устройствами, предотвращение фальсификации данных и невозможности получения ПИН-кодов из данных транзакций. Технически обеспечивается использованием многоступенчатой системы ключей для шифрования ПИН-блоков (одноразовые сессионные ключи устройств, транспортные ключи для интерфейсов), применением MAC-кодов (Message Authentication Code) для подтверждения целостности сообщений, использованием аппаратных средств шифрования (HSM — Hardware Security Module) для хранения криптографических данных и выполнения операций трансляции и проверки ПИН-кодов.

Важное значение имеет также проверка соответствия данных транзакции данным магнитной полосы карты, а также данным, находящимся в БД процессинга — это позволяет отсекать процедуры подбора карты.

Управление рисками — заключается в использовании технических средств и организационных процедур, минимизирующих или позволяющих контролировать различные категории рисков.

К техническим средствам управления рисками можно отнести использование программно-аппаратных средств, позволяющих анализировать авторизационный траффик, базу данных с историей транзакций и сообщениями претензионного цикла и на основе правил (rule-based) или нейронных сетей детектировать различного рода атаки и вероятные мошенничества.

К организационно-техническим средствам можно отнести интерфейсы с базами данных международных платежных систем, содержащих информацию о случаях мошенничества и недобросовестной деловой практики, например, System to avoid fraud effectively (SAFE), Member alert to control high-risk (MATCH), National merchant alert system (NMAS).

К организационным средствам управления рисками можно отнести проверку и аттестацию персонала, имеющего доступ к критическим данным.

Безопасность процедур персонализации должна обеспечиваться еще на стадии проектирования центра, исходя из требований последующей сертификации в международных платежных системах. В частности, планировка и конструкция помещений должны предусматривать ряд зон (производственная зона, зона приема-передачи, зона печати ПИН-конвертов, зона хранения и т. п.), оборудованных техническими средствами ограничения доступа, мониторинга и аудита. Особое внимание также должно быть уделено подбору персонала.

Стандарт защиты информации в индустрии платёжных карт (PCI DSS)

В 2006 г. Советом по стандартам безопасности индустрии платежных карт (PCI Security Standards Council), образованным пятью ведущими платежными системами American Express, Discover Financial Services, JCB, MasterCard и VISA, был опубликован стандарт защиты информации в индустрии платежных карт — Payment Card Industry Data Security Standard (PCI DSS).

Данный стандарт объединяет в себе требования ряда нормативных документов платежных систем в области защиты информации, в частности:

• Visa Europe & other regions: Account information security (AIS);

• Visa USA: Cardholder information security (CISP);

• MasterCard: Site data protection (SDP).

Требования стандарта распространяются на все компании (процессинговые центры, платежные шлюзы, провайдеры интернет), работающие с международными платежными системами. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей, выполняемые сертифицированными аудиторами.

Стандарт PCI DSS устанавливает следующие области контроля и 12 основных требований, которым должна соответствовать организация для аттестации на соответствие стандарту.

I. Построение и сопровождение защищенной сети

1. Создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей карт;

2. Неиспользование уставленных по умолчанию поставщиками решений системных паролей и иных параметров безопасности.

II. Защита данных держателей карт

3. Обеспечение защиты данных держателей карт в процессе хранения;

4. Обеспечение пересылки данных держателей карт в зашифрованном виде при их передаче через незащищенные и общедоступные сети.

III. Поддержка программы управления уязвимостями

5. Использование и регулярное обновление антивирусного программного обеспечения;

6. Разработка и поддержка защищенных (безопасных) систем и приложений.

IV. Реализация мер по строгому контролю доступа

7. Ограничение доступа к данным по принципу служебной необходимости;

8. Присвоение уникального идентификатора каждому лицу, располагающему доступом к компьютеру;

9. Ограничение физического доступа к данным держателей карт

V. Регулярный мониторинг и тестирование сетей

10: Запись и отслеживание всех сеансов доступа к ресурсам сети и данным держателей карт;

11. Регулярное тестирование систем и процессов обеспечения безопасности.

VI. Поддержание политики информационной безопасности

12. Наличие и исполнение в организации политики информационной безопасности[238].

В приведенном разделе мы вкратце постарались осветить основные аспекты, связанные с обработкой транзакций по банковским картам — технологические вопросы организации процессинга, организационную структуру, процедуры и вопросы безопасности.

Тем не менее, не претендуя на полноту освещения данных вопросов, мы надеемся, что приведенный материал окажется полезным читателю как при общем изучении данного вопроса, так и при реализации конкретных проектов.