Организация технологического взаимодействия процессора и служб банка
К оглавлению1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 1617 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33
34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50
51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67
68 69 70 71 72 73 74 75 76 77 78
Повседневная деятельность подразделений процессингового центра и их взаимодействие с финансовыми институтами и платежными системами регламентируется процедурами.
Процедуры процессингового центра должны быть формализованы, утверждены руководителями задействованных подразделений, а также регулярно пересматриваться с определенной периодичностью.
В табл. 8 приведен ряд основных процедур, а также задействованные в них подразделения.
Безопасность процессинговых центров
Одним из наиболее важных практических аспектов функционирования процессингового центра банка является обеспечение его безопасности. В отличие от обычных информационных систем процессинговый центр банка содержит информацию о реквизитах, позволяющих получить доступ к деньгам клиентов, и компрометация этих данных может привести к значительным финансовым потерям. Вот почему существенная доля затрат при создании и функционировании процессинга связана с расходами на обеспечение безопасности.
Рассмотрим некоторые аспекты безопасности процессинговых центров.
Физическая безопасность — подразумевает ограничение доступа неавторизованного персонала на территорию центров обработки данных и персонализации, а также устойчивость указанных зданий к внешним воздействиям. В помещениях и технических зонах должны быть использованы средства контроля доступа (далее — СКД), в зонах особого режима — технические средства охраны и видеонаблюдения.
Организационно-техническая безопасность — подразумевает существование службы офицеров безопасности (security officers). К обязательным мерам относится наличие процедур, регламентирующих жизненный цикл криптографических ключей (key management), наличие и исполнение процедур доступа к данным и криптографической информации, а также процедуры аудита.
В информационной системе процессингового центра должны использоваться средства аутентификации, разграничения доступа и аудита.
Обязательным правилом должно быть наличие раздельных сред разработки, тестирования и эксплуатации приложений, с вынесением среды эксплуатации в отдельный программно-аппаратный комплекс. Все новые программные и технические средства должны предварительно проходить тестирование в специально выделенных средах. Желательно также, чтобы разработкой и сопровождением системы занимались отдельные подразделения процессингового центра.
Транзакционная безопасность — комплекс мер, направленных на обеспечение целостности информационного обмена между хостами и устройствами, предотвращение фальсификации данных и невозможности получения ПИН-кодов из данных транзакций. Технически обеспечивается использованием многоступенчатой системы ключей для шифрования ПИН-блоков (одноразовые сессионные ключи устройств, транспортные ключи для интерфейсов), применением MAC-кодов (Message Authentication Code) для подтверждения целостности сообщений, использованием аппаратных средств шифрования (HSM — Hardware Security Module) для хранения криптографических данных и выполнения операций трансляции и проверки ПИН-кодов.
Важное значение имеет также проверка соответствия данных транзакции данным магнитной полосы карты, а также данным, находящимся в БД процессинга — это позволяет отсекать процедуры подбора карты.
Управление рисками — заключается в использовании технических средств и организационных процедур, минимизирующих или позволяющих контролировать различные категории рисков.
К техническим средствам управления рисками можно отнести использование программно-аппаратных средств, позволяющих анализировать авторизационный траффик, базу данных с историей транзакций и сообщениями претензионного цикла и на основе правил (rule-based) или нейронных сетей детектировать различного рода атаки и вероятные мошенничества.
К организационно-техническим средствам можно отнести интерфейсы с базами данных международных платежных систем, содержащих информацию о случаях мошенничества и недобросовестной деловой практики, например, System to avoid fraud effectively (SAFE), Member alert to control high-risk (MATCH), National merchant alert system (NMAS).
К организационным средствам управления рисками можно отнести проверку и аттестацию персонала, имеющего доступ к критическим данным.
Безопасность процедур персонализации должна обеспечиваться еще на стадии проектирования центра, исходя из требований последующей сертификации в международных платежных системах. В частности, планировка и конструкция помещений должны предусматривать ряд зон (производственная зона, зона приема-передачи, зона печати ПИН-конвертов, зона хранения и т. п.), оборудованных техническими средствами ограничения доступа, мониторинга и аудита. Особое внимание также должно быть уделено подбору персонала.
Стандарт защиты информации в индустрии платёжных карт (PCI DSS)
В 2006 г. Советом по стандартам безопасности индустрии платежных карт (PCI Security Standards Council), образованным пятью ведущими платежными системами American Express, Discover Financial Services, JCB, MasterCard и VISA, был опубликован стандарт защиты информации в индустрии платежных карт — Payment Card Industry Data Security Standard (PCI DSS).
Данный стандарт объединяет в себе требования ряда нормативных документов платежных систем в области защиты информации, в частности:
• Visa Europe & other regions: Account information security (AIS);
• Visa USA: Cardholder information security (CISP);
• MasterCard: Site data protection (SDP).
Требования стандарта распространяются на все компании (процессинговые центры, платежные шлюзы, провайдеры интернет), работающие с международными платежными системами. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей, выполняемые сертифицированными аудиторами.
Стандарт PCI DSS устанавливает следующие области контроля и 12 основных требований, которым должна соответствовать организация для аттестации на соответствие стандарту.
I. Построение и сопровождение защищенной сети
1. Создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей карт;
2. Неиспользование уставленных по умолчанию поставщиками решений системных паролей и иных параметров безопасности.
II. Защита данных держателей карт
3. Обеспечение защиты данных держателей карт в процессе хранения;
4. Обеспечение пересылки данных держателей карт в зашифрованном виде при их передаче через незащищенные и общедоступные сети.
III. Поддержка программы управления уязвимостями
5. Использование и регулярное обновление антивирусного программного обеспечения;
6. Разработка и поддержка защищенных (безопасных) систем и приложений.
IV. Реализация мер по строгому контролю доступа
7. Ограничение доступа к данным по принципу служебной необходимости;
8. Присвоение уникального идентификатора каждому лицу, располагающему доступом к компьютеру;
9. Ограничение физического доступа к данным держателей карт
V. Регулярный мониторинг и тестирование сетей
10: Запись и отслеживание всех сеансов доступа к ресурсам сети и данным держателей карт;
11. Регулярное тестирование систем и процессов обеспечения безопасности.
VI. Поддержание политики информационной безопасности
12. Наличие и исполнение в организации политики информационной безопасности[238].
В приведенном разделе мы вкратце постарались осветить основные аспекты, связанные с обработкой транзакций по банковским картам — технологические вопросы организации процессинга, организационную структуру, процедуры и вопросы безопасности.
Тем не менее, не претендуя на полноту освещения данных вопросов, мы надеемся, что приведенный материал окажется полезным читателю как при общем изучении данного вопроса, так и при реализации конкретных проектов.
Повседневная деятельность подразделений процессингового центра и их взаимодействие с финансовыми институтами и платежными системами регламентируется процедурами.
Процедуры процессингового центра должны быть формализованы, утверждены руководителями задействованных подразделений, а также регулярно пересматриваться с определенной периодичностью.
В табл. 8 приведен ряд основных процедур, а также задействованные в них подразделения.
Безопасность процессинговых центров
Одним из наиболее важных практических аспектов функционирования процессингового центра банка является обеспечение его безопасности. В отличие от обычных информационных систем процессинговый центр банка содержит информацию о реквизитах, позволяющих получить доступ к деньгам клиентов, и компрометация этих данных может привести к значительным финансовым потерям. Вот почему существенная доля затрат при создании и функционировании процессинга связана с расходами на обеспечение безопасности.
Рассмотрим некоторые аспекты безопасности процессинговых центров.
Физическая безопасность — подразумевает ограничение доступа неавторизованного персонала на территорию центров обработки данных и персонализации, а также устойчивость указанных зданий к внешним воздействиям. В помещениях и технических зонах должны быть использованы средства контроля доступа (далее — СКД), в зонах особого режима — технические средства охраны и видеонаблюдения.
Организационно-техническая безопасность — подразумевает существование службы офицеров безопасности (security officers). К обязательным мерам относится наличие процедур, регламентирующих жизненный цикл криптографических ключей (key management), наличие и исполнение процедур доступа к данным и криптографической информации, а также процедуры аудита.
В информационной системе процессингового центра должны использоваться средства аутентификации, разграничения доступа и аудита.
Обязательным правилом должно быть наличие раздельных сред разработки, тестирования и эксплуатации приложений, с вынесением среды эксплуатации в отдельный программно-аппаратный комплекс. Все новые программные и технические средства должны предварительно проходить тестирование в специально выделенных средах. Желательно также, чтобы разработкой и сопровождением системы занимались отдельные подразделения процессингового центра.
Транзакционная безопасность — комплекс мер, направленных на обеспечение целостности информационного обмена между хостами и устройствами, предотвращение фальсификации данных и невозможности получения ПИН-кодов из данных транзакций. Технически обеспечивается использованием многоступенчатой системы ключей для шифрования ПИН-блоков (одноразовые сессионные ключи устройств, транспортные ключи для интерфейсов), применением MAC-кодов (Message Authentication Code) для подтверждения целостности сообщений, использованием аппаратных средств шифрования (HSM — Hardware Security Module) для хранения криптографических данных и выполнения операций трансляции и проверки ПИН-кодов.
Важное значение имеет также проверка соответствия данных транзакции данным магнитной полосы карты, а также данным, находящимся в БД процессинга — это позволяет отсекать процедуры подбора карты.
Управление рисками — заключается в использовании технических средств и организационных процедур, минимизирующих или позволяющих контролировать различные категории рисков.
К техническим средствам управления рисками можно отнести использование программно-аппаратных средств, позволяющих анализировать авторизационный траффик, базу данных с историей транзакций и сообщениями претензионного цикла и на основе правил (rule-based) или нейронных сетей детектировать различного рода атаки и вероятные мошенничества.
К организационно-техническим средствам можно отнести интерфейсы с базами данных международных платежных систем, содержащих информацию о случаях мошенничества и недобросовестной деловой практики, например, System to avoid fraud effectively (SAFE), Member alert to control high-risk (MATCH), National merchant alert system (NMAS).
К организационным средствам управления рисками можно отнести проверку и аттестацию персонала, имеющего доступ к критическим данным.
Безопасность процедур персонализации должна обеспечиваться еще на стадии проектирования центра, исходя из требований последующей сертификации в международных платежных системах. В частности, планировка и конструкция помещений должны предусматривать ряд зон (производственная зона, зона приема-передачи, зона печати ПИН-конвертов, зона хранения и т. п.), оборудованных техническими средствами ограничения доступа, мониторинга и аудита. Особое внимание также должно быть уделено подбору персонала.
Стандарт защиты информации в индустрии платёжных карт (PCI DSS)
В 2006 г. Советом по стандартам безопасности индустрии платежных карт (PCI Security Standards Council), образованным пятью ведущими платежными системами American Express, Discover Financial Services, JCB, MasterCard и VISA, был опубликован стандарт защиты информации в индустрии платежных карт — Payment Card Industry Data Security Standard (PCI DSS).
Данный стандарт объединяет в себе требования ряда нормативных документов платежных систем в области защиты информации, в частности:
• Visa Europe & other regions: Account information security (AIS);
• Visa USA: Cardholder information security (CISP);
• MasterCard: Site data protection (SDP).
Требования стандарта распространяются на все компании (процессинговые центры, платежные шлюзы, провайдеры интернет), работающие с международными платежными системами. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей, выполняемые сертифицированными аудиторами.
Стандарт PCI DSS устанавливает следующие области контроля и 12 основных требований, которым должна соответствовать организация для аттестации на соответствие стандарту.
I. Построение и сопровождение защищенной сети
1. Создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей карт;
2. Неиспользование уставленных по умолчанию поставщиками решений системных паролей и иных параметров безопасности.
II. Защита данных держателей карт
3. Обеспечение защиты данных держателей карт в процессе хранения;
4. Обеспечение пересылки данных держателей карт в зашифрованном виде при их передаче через незащищенные и общедоступные сети.
III. Поддержка программы управления уязвимостями
5. Использование и регулярное обновление антивирусного программного обеспечения;
6. Разработка и поддержка защищенных (безопасных) систем и приложений.
IV. Реализация мер по строгому контролю доступа
7. Ограничение доступа к данным по принципу служебной необходимости;
8. Присвоение уникального идентификатора каждому лицу, располагающему доступом к компьютеру;
9. Ограничение физического доступа к данным держателей карт
V. Регулярный мониторинг и тестирование сетей
10: Запись и отслеживание всех сеансов доступа к ресурсам сети и данным держателей карт;
11. Регулярное тестирование систем и процессов обеспечения безопасности.
VI. Поддержание политики информационной безопасности
12. Наличие и исполнение в организации политики информационной безопасности[238].
В приведенном разделе мы вкратце постарались осветить основные аспекты, связанные с обработкой транзакций по банковским картам — технологические вопросы организации процессинга, организационную структуру, процедуры и вопросы безопасности.
Тем не менее, не претендуя на полноту освещения данных вопросов, мы надеемся, что приведенный материал окажется полезным читателю как при общем изучении данного вопроса, так и при реализации конкретных проектов.