THE BELL

Есть те, кто прочитали эту новость раньше вас.
Подпишитесь, чтобы получать статьи свежими.
Email
Имя
Фамилия
Как вы хотите читать The Bell
Без спама

Как работает процессинг платежных карт? Что такое процессинг банковских карт

Share
Share
Tweet
Like
Like

Большинству пользователей пластиковых платёжных инструментов неизвестно, что такое процессинг. Для них важно, чтобы дебетовая или кредитная карта стабильно работала и принималась терминалами и банкоматами, была удобным инструментом для интернет-расчётов и помощником, благодаря которому можно совершать необходимое количество финансовых операций.

Всё перечисленное имеет отношение к процессингу. Именно он является гарантом того, что деньги с карты попадут в конечную точку отправки. Благодаря ему, продавец получает деньги, а покупатель заказанный товар.

Процессинг: суть понятия

Процессинг – это процедура обработки платежей. Речь идёт о сложном процессе, происходящем за считанные секунды. Суть его такова: держатель банковского платёжного инструмента расплачивается им за полученную услугу либо приобретённый товар. С пластика списываются денежные средства, которые перенаправляются продавцу или компании, предоставившей услугу.

Процессинг банковских карт – это процесс обработки электронных данных. Его задача организовать перевод средств на расчётные счета компаний.

Понятие «процессинг» - это перевод фразы Credit Card Processing. Оно появилось вместе с дебетовыми картами и возможностью делать проверку карточного баланса в онлайн-режиме. Тогда, в 90-х прошлого столетия банковское законодательство ещё не определилось с законами в области интернет-платежей, чем воспользовались некоторые специалисты, начавшие создавать собственные электронные валюты. Вскоре процесс узаконился, а компании получили название процессинговых центров (Transaction Processing Clearinghouse).

Деятельность процессинговых центров

На международном финансовом рынке процессинговые услуги предоставляют некоторые банки и процессинговые компании. По своей сути они являются посредниками в цепи:

  • покупатель;
  • мерчант, то есть продавец, зарегистрировавший специальный счёт, куда из платёжного шлюза переводятся деньги;
  • банковская система.

Transaction Processing Clearinghouse оперирует большими деньгами. Однако при этом она не является их владельцем.

Особенности процессинга банковских карт

Понятие «процессинг» можно рассматривать с 2-х позиций:

  1. Банковский. Кредитные компании занимаются выпуском карт в рамках различных платёжных систем, а также обеспечивают их обслуживание.
  2. Небанковский. Сюда входит приём таких видов регулярных платежей как оплата услуг ЖКХ, провайдеров телефонии и интернета, телевидения и т. п., а также обслуживание транспортных, подарочных и прочих небанковских платёжных инструментов и денежные переводы.

Процессинг пластиковых карт должен соответствовать базовым правилам, которых придерживаются как международные, так и российские платёжные системы. В международном пространстве действует 2 наиболее известные процессинговые системы: MasterCard – европейская и Visa – американская. Они имеют отношение к банковской системе, но сами по себе не являются кредитными организациями. Тем не менее, Виза и МастерКард совершают большую часть международных карточных расчётов.

Организация процессинга

Компания, предоставляющая населению услуги или продающая товары в онлайн-режиме, должна организовать процессинг, то есть, обзавестись мерчант-счетом, заключив соглашение с банком, к примеру, со Сбербанком, или процессинговым центром.

Некоторые представители бизнеса решают сами открыть процессинговые центры. Это даёт им такие преимущества, как:

  • возможность оперативного внедрения новых функций и платёжных инструментов;
  • обеспечение безопасности и конфиденциальности данных платежей;
  • снижение издержек за процессинг;
  • возможность обеспечения полного контроля всех бизнес процессов.

В любом случае, собственный или заказанный процессинг необходим.

Что проверяется во время расчета

В процессинговых центрах, хранятся платёжные данные пользователей эквайеров, с которыми они сотрудничают. Как только оборудование торговых заведений считывает с карты информацию, она поступает на проверку в центр. Производится сверка данных:

  • реквизитов;
  • наличия необходимой для оплаты услуги или товара суммы;
  • не действуют ли запреты на вывод средств.

Только после того, как система убеждается в возможности проведения платежа, денежные средства переходят с пластика продавцу.

Разновидности процессинговых систем

На международном финансовом рынке функционирует 3 типа процессинговых систем:

  • «Белые»;
  • «Серые»;
  • «Чёрные».

Рассмотрим подробнее каждый из видов,

«Белые»

К «Белым» относятся максимально безопасные системы, деятельность которых абсолютно прозрачна. По большей части они зарегистрированы в Европейском Союзе или Соединённых Штатах. К ним легко подключиться, затраты на подключение минимальны. Вы получаете качественные услуги за небольшие деньги и совершенно спокойны по поводу безопасности производимых платежей.

«Серые»

К данному типу относятся компании, зарегистрировавшиеся на азиатском континенте в различных оффшорах. Их нельзя назвать законопослушными, так как представители «серого» процессинга охотно заключают контракты с любыми видами бизнеса, в том числе и с сайтами для взрослых, и с компаниями из категории High Risk. «Серые» представители процессинга похожи на закрытые клубы, с которыми не так просто начать сотрудничество. Если получится, можно получить взаимовыгодные условия, в которых цена и качество соответствуют друг другу.

«Черные»

Тут ни о какой законности не идёт и речи. Представители данного сегмента не гнушаются никакими видами бизнеса и готовы предложить сотрудничество компаниям, ведущим откровенно противозаконную деятельность. Большинство представителей «чёрного» процессинга – банки, расположенные на территории Китая и не самые чистые на руку офшоры. Такие структуры работают в условиях глубокой конспирации, что затрудняет выход на них для заключения соглашения. Сотрудничество с «чёрными» связано с рисками.

Основы безопасности (стандарты)

Безопасность платежей – вопрос, который волнует всех участников процессинга. Безопасность процессов обеспечивают специальные технологии безопасности электронных платежей, соответствующие международным стандартам.

Для банков-эмитентов

Банки эмитенты пользуются специальными протоколами для защиты данных. В идеале это 2 системы:

  • 3D Secure;
  • Secure Socket Layer.

Secure Socket Layer – основной, 3D Secure – работающий на базе 3-х доменов: эквайера, эмитента и взаимодействия. Каждый домен имеет свою зону ответственности и обеспечения безопасности.

Для процессинговых центров

Процессинговые центры также используют сертификаты и протоколы безопасности платежей, так как несут ответственность за сохранность данных о клиентах. В частности, применяется описанный выше протокол SSL.

Российские процессинговые карточные системы

К наиболее востребованным процессинговым карточным системам России относятся:

  • Robokassa, созданная ООО «Бизнес Элемент» в 2003 году;
  • Platron, запущенная в Москве в октябре 2009 года;
  • PayOnline, действующая на базе международного холдинга Net Element с января 2009 года.

Это 3 надёжных сервиса, с которыми сотрудничает большинство российских компаний, принимающих оплату онлайн. Стоит обратить на них свое внимание.

Выводы

Процессинг стал неотъемлемой частью современного бизнеса. У дельцов XXI века, не должно возникать вопроса, что это значит: «ожидаем резервирования в процессинге». Сбербанк и другие финучреждения, а также процессинговые компании готовы к сотрудничеству с начинающими дельцами. Остаётся сделать выбор, к кому обратиться.

Пластиковые карты - удобная замена наличным деньгам. Они компактны, безопасны и удобны в использовании. Но уже привычный механизм оплаты товаров при помощи пластиковой карты редко заставляет людей задумываться о том, какие процессы происходят во время контакта банковской карточки с платежным терминалом. Поэтому сегодня поговорим о процессинговых системах.

Термин

Чтобы доступно описать всю суть этого явления, нужно ввести несколько терминов. Процессинг - это процесс обработки информации, используемой при осуществлении платежа посредством банковской пластиковой карты. Отсюда следует вывод, что процессинговая система - это система, обеспечивающая обработку информации при проведении операций с применением пластиковых карт.

Процессинговые схемы всегда содержат трех обязательных участников:

  • Организация-эквайер, которая несет ответственность за осуществление расчетов.
  • Банк-эмитент, выпускающий платежные пластиковые карты.
  • Платежная система, которая выступает в качестве посредника между эквайером и банком-эмитентом.

Компании, которые предоставляют услуги по обеспечению и обслуживанию ПО, необходимого для процессинга, называются "процессинговые центры". Они же являются одним из звеньев в системе эквайринга.

Главная цель процессинговой системы - обеспечить постоянную и бесперебойную связь между всеми участниками процессинговой схемы. Иначе осуществление платежей с использованием банковских пластиковых карт станет невозможным.

Система эквайринга: что проверяется во время расчетов?

За несколько секунд, которые нужны для проведения платежной операции, эквайер проверяет данные, без которых невозможно осуществить транзакцию. Среди них:

  • Дееспособность пластиковой карточки.
  • Сумма средств, доступных для списания.
  • Статус банка-эмитента.

Кроме того, именно процессинговая система отвечает за безопасность платежей, под которой понимается сохранность и конфиденциальность транзакций, а также защита от мошенников.

Процессинговая система: особенности организации

Из вышесказанного несложно понять, что процессинг - это достаточно сложный процесс, который требует ответственного и серьезного подхода к его организации. Процессинговая система должна операции между держателями пластиковых карт, банков-эмитентов, и прочего. Для этого используются автономные системы обработки платежей, которые наиболее часто встречаются в сфере электронной коммерции.

Организация процессинга включает в себя:

  • Проверку состояния пластиковых карт (баланс, статус и пр.).
  • Передачу информации о запросе на проведение транзакции в банк-эмитент.
  • Обработку протокола банковских реквизитов.
  • Создание и поддержку базы данных.
  • Формирование отчетов и передачу их банку-эмитенту (производится ежедневно).
  • Обработку стоп-листов и доведение информации до контрагентов.

В дополнение к этому процессинговые центры могут заниматься выпуском пластиковых карт, их персонализацией и защитой.

Типы процессинговых систем

Процессинговые системы условно делят на «белые», «серые» и «черные». Их статус зависит от легальности проводимых операций:

  • «Белые». Процессинговые системы перед сотрудничеством должны проверять юридический статус компании-эмитента и законность проводимых операций. "Белые" процессинги работают исключительно с проверенными фирмами, исправно платящими все местные и международные налоги. Как правило, "белые" международные прецессионные системы - резиденты Европейского союза или Соединенных Штатов Америки.
  • «Серые». «Серые» процессинговые центры могут обслуживать не только легальный бизнес, но и подозрительные компании, которые находятся в зоне высокого риска. Однако если законность деятельности фирмы стоит под вопросом, «серые» процессинги могут отказать в обслуживании. Поэтому с ними нужно уметь договариваться, чтобы получить оптимальное соотношение цены и качества услуг. Чаще всего «серые» процессинговые центры являются резидентами азиатских стран.
  • «Черные». К этому типу относятся все процессинги, которые сотрудничают с любым бизнесом, даже откровенно нелегальным. Естественно, найти представителей данных компаний достаточно сложно, поэтому для заключения договора обслуживания клиентам приходится искать выход на нужного человека. Чаще всего «черные» процессинговые центры представлены китайскими банками или одиозными офшорами.

Безопасность

Главная угроза безопасности любой процессинговой системы банка - хакеры. Их методы воздействия с каждым разом становятся все агрессивнее, поэтому неотъемлемая часть любого процессингового центра - служба безопасности.

В 2006 году был разработан ключевой стандарт безопасности пластиковых карточек, которому должны подчиняться абсолютно все участники процессинговой системы - PCI DSS. В его разработке принимали участие более 600 квалифицированных специалистов разных направлений. Именно поэтому данный стандарт актуален и по сей день.

Стандарт безопасности PCI DSS: обязательства

Исходя из текста документа, на всех участников процессинговой схемы, производящих удаленное осуществление платежей с использованием пластиковой карты, накладываются четкие обязательства:

  • Для банков-эмитентов. Юридическое лицо, занимающееся выпуском пластиковых карт, должно обеспечивать их безопасность от несанкционированного доступа. К обязательным условиям относятся: нанесение чипа, размещение защитного кода (CVC2, CVV2 и пр.), присвоение магнитной дорожки с именем владельца, защита карты посредством пин-кода, функция 3D-Secure. Кроме того, данные о владельце пластиковой карты банк-эмитент должен хранить исключительно в закодированном виде.
  • Для процессинговых центров. Чтобы принимать участие в финансовой деятельности, процессинговые центры должны получить международный сертификат на соответствие требования безопасности, а также проходить обязательную переаттестацию в период осуществления свой деятельности. Кроме того, работники компании при приеме на работу проверяются федеральной службой безопасности, осуществляющей постоянный контроль над их последующим участием в процессинговой схеме.

Процессинговые системы в России

Раньше банки преимущественно использовали только международные процессинги для проведения операций. Теперь тенденция меняется. Они предпочитают создавать свои процессинговые центры. Это позволяет им освободиться от зависимости в сторонних компаниях, а также самостоятельно внедрять новые технологии. Причем это касается не только банков. Крупные фирмы также работают над созданием процессинговых систем. Например, на сайте secure.sirena-travel.ru процессинговая система, используемая для проведения платежа, - результат разработки на базе решений «Сирена-Трэвел».

Но так или иначе, использование таких платежных систем, как Visa или MasterCard, обязывает банки применять зарубежные международные процессинговые системы. Яркий пример такого сотрудничества - Сбербанк и процессинговая система Way4.

Главный недостаток отечественных сервисов - локальность. Каждый банк разрабатывает процессинг исключительно для личного пользования, что, в свою очередь, не позволяет объединить все платежные схемы в единую систему.

Преимущества создания собственной процессинговой системы

Иногда создание личного процессинга финансово невыгодно для банков. Но в силу каких-то причин они все равно вкладывают в него деньги. Чаще всего это обусловлено следующими преимуществами:

  • Уменьшение затрат на обслуживание электронных платежей.
  • Независимость от сторонних фирм.
  • Быстрое внедрение новых технологий и функций.
  • Снижение рисков при передаче данных сторонней организации.

На сегодняшний день самым крупным разработчиком процессинговых в России является «Компания объединенных кредитных карточек», которая обслуживает около 20 % оборота по сделкам. С ней сотрудничают более 90 отечественных и зарубежных банков, стимулирующих расширение и совершенствование качества оказываемых услуг.

Процессинг - это этап формирования функционально активных молекул РНК из первоначальных транскриптов. Процессинг рассматривают как посттранскрипционные модификации РНК, характерные для эукариот. (У прокариот процессы транскрипции и трансляции иРНК идут почти одновременно. Этот тип РНК у них процессинга не претерпевает.)

В результате процессинга первичные транскрипты РНК превращаются в зрелые РНК. Поскольку существует несколько различных типов РНК, то для каждого из них характерны свои модификации.

Процессинг информационной (матричной) РНК

На участках ДНК, кодирующих структуру белка, образуется предшественник информационной (матричной) РНК (пре-иРНК). Пре-иРНК копирует всю нуклеотидную последовательность ДНК от промотора до терминатора транскриптона. То есть она включает концевые нетранслируемые области (5" и 3"), интроны и экзоны.

Процессинг пре-иРНК включает в себя кэпирование, полиаде ни лирование, сплайсинг , а также некоторые другие процессы (метилирование, редактирование).

Кэпирование - это присоединение 7-метил-ГТФ (7-метилгуанозинтрифосфат) к 5"-концу РНК, а также метилирование рибозы двух первых нуклеотидов.

В результате образуется так называемая «шапка» (кэп). Функция кэпа связана с инициацией трансляции. Благодаря ему начальный участок иРНК прикрепляется к рибосоме. Также кэп защищает транскрипт от разрушительного действия рибонуклеаз и выполняют ряд функций в сплайсинге.

В результате полиаде ни лирования к 3"-концу РНК присоединяется полиадениловый участок (поли-А) длинной примерно 100-200 нуклеотидов (содержащих аденин). Данные реакции обеспечивает фермент поли-А-полимераза. Сигналом к полиаденилированию служит последовательность AAUAAACA на 3"-конце. В месте -CA происходит разрезание молекулы иРНК.

Поли-А защищает молекулу РНК от ферментативного распада.

Кэпирование и полиаденилирование происходят еще на этапе транскрипции. Кэп образуется сразу после высвобождения из РНК-полимеразы 5"-конца синтезируемой РНК, а поли-А образуется сразу после терминации транскрипции.

Сплайсинг представляет собой вырезание интронов и соединение экзонов. Экзоны могут соединяться по-разному. Таким образом из одного транскрипта могут образовываться разные иРНК. В сплайсинге информационной РНК участвуют малые ядерные РНК, которые имеют участки, комплементарные концам интронов и связываются с ними. Кроме мяРНК в сплайсинге участвуют различные белки. Все вместе (белки и мяРНК) формируют нуклеопротеидный комплекс - сплайсосому .

После процессинга иРНК становится короче своего предшественника иногда в десятки раз.

Процессинг других видов РНК

При процессинге молекул рибосомальных и транспортных РНК не происходит кэпирования и полиаденилирования. Модификации данных видов РНК происходят не только у эукариот, но и у прокариот.

Три вида рибосомальной РНК эукариот образуются в результате расщепления одного транскрипта (45S-РНК).

Процессинг ряда транспортных РНК может также включать расщепление одного транскрипта, другие тРНК получаются без расщепления. Особенностью процессинга тРНК является то, что молекула РНК проходит длинную цепь модификаций нуклеотидов: метилирование, дезаминирование и др.

Некоторое время назад на Хабре уже мелькали посты о работе банкоматов: и , но оба они описывали принципы работы банкоматов и вообще карточного процессинга весьма поверхностно.
Для интересующихся под катом много подробностей работы карточного процессинга банка (много букв).

Как выглядит упрощённая схема работы работы процессингового центра банка:

Процессинг
FrontEnd - отвечает за online сообщения: общение с банкоматами и POS-терминалами, передача авторизаций карт в VISA.
BackEnd - отвечает за offline: закрытие операционного дня, обмен финсообщениями с VISA.
HSM (Hardware Security Module) - модуль работы с ключами безопасности (подробнее описано ниже).

Все шифрование производится с помощью алгоритма 3DES .

Подключение к VISA
Банк имеет два типа подключения к VISA:
  • online
  • offline
Online-подключение
Транспортный уровень
Подключение к VISA осуществляется через вполне конкретного провайдера, в 2006 году это был Equant и его партнёр в России - Golden Telecom, как обстоят дела сейчас - я не в курсе.

Получается, что VISA доступна в локальной сети одного провайдера. Это обязательное требование VISA. Для подключения провайдер прокладывает в банк собственный оптоволоконный кабель для основного канала связи и для резервного. Устанавливает конечные маршрутизаторы и выделяет по одному порту на каждом (основной и резервный). Управление маршрутизаторами осуществляется только провайдером.

Итак, связь транспортного уровня с VISA установлена, далее прикладной уровень.

Прикладной уровень
Связь прикладного уровня осуществляется по специальному протоколу, разработанному в VISA в незапамятные времена.

Кроме всего этого все сообщения должны передаваться зашифрованными. Для этого специальные люди - офицеры безопасности - генерируют ключевые последовательности заданной длины на HSM и результаты отправляются в VISA.

Оффлайн-подключение
Оффлайн-подключение - это не что иное, как обмен файлами с информацией обо всех транзакциях, совершённых за операционный день. То есть, если в банкоматах банка «А» были обслужены карты не банка «А». Подробнее об этом чуть ниже в сценарии «Чужой клиент в нашем АТМ».

Стоит немного рассказать про HSM.

HSM
HSM - это классический чёрный ящик. При инициализации он генерирует закрытую и открытую компоненту мастер-ключа банка. Закрытую компоненту никто никогда не видит, она всегда остаётся в памяти HSM.

Сам модуль имеет многочисленные уровни защиты от взломов: программного и физического. При малейшем намёке на компрометацию ключа память модуля самоуничтожается без возможности восстановления.

Три части открытой компоненты мастер-ключа записываются на 3 магнитные карты и выдаются офицерам безопасности банка.

Итак, связь с VISA установлена, и всё работает. Теперь нам надо выпускать карты.
При вступлении в VISA банку выдаются так называемые БИНы (Bank Identification Number): то есть подмножества номеров карт доступных для выпуска. Для VISA они всегда начинаются на 4.

БИНы распределены по карточным продуктам, например:

  • VISA Classic: 400001
  • VISA Gold: 400002
  • VISA instant issue: 400003
  • и так далее

Формат номера выглядит так: допустим, у нас есть карта с номером: 4408 0412 3456 7890

Номер карты состоит из:

  • 4ХХХХХ - код VISA
  • 4408(04) - код банка (код карточного продукта)
  • 12 3456 7890 - номер лимита авторизации. Подробнее о лимите авторизации ниже.

Для интересующихся вот описано, как происходит валидация номера карты.

Для каждого БИНа генерируется пара ключей: IWK (issuer working key) и AWK (acquirer working key). Процедура генерации и передачи результата в VISA аналогична описанной выше.

После этого всё это добро прописывается в FrontEnd и BackEnd процессинга. В BackEnd для выпуска карт и их эмбоссирования, вo FrontEnd для обслуживания авторизаций.

Теперь у нас есть связь с VISA и есть выпущенные карты; другими словами, мы осуществили эмиссию карт. Нам осталось сделать эквайеринг.

Банкоматы
Не буду повторяться и описывать, что находится внутри банкомата, это уже описали здесь. Скажу только, что протокол NDC+ (NCR Direct Connect) разработан чёрт знает сколько лет назад корпорацией NCR - одним из ведущих производителей банкоматов на сегодняшний день.

Широко известны три производителя:

  • Wincor Nixdorf GmBH (бывший Siemens Nixdorf)
  • Diebold (бывший IBM)

Да, и Siemens и IBM когда-то давно производили банкоматы, но впоследствии продали этот бизнес Wincor Nixdorf и Diebold соответственно.
Ваш покорный слуга является сертифицированным инженером как раз таки Wincor Nixdorf. Однако, у нас был один стародавний IBM, который был выпущен ещё до продажи бизнеса и который работал.
Не скажу, что работал он как часы, ибо его всё время приходилось подкручивать и подлаживать, чтобы он хоть как-то дышал, но для него можно было купить запчасти. Правда, стоили они в три раза дороже чем аналогичные для Wincor Nixdorf.
Итак, мы выяснили что есть два протокола по которому работают банкоматы. Мне довелось работать лишь с NDC+, про DDC я только слышал, но никогда не видел.
Поскольку я близко знаком только с Wincor Nixdorf, предположим, что наш банк купил именно их.

Когда на банкомат поставлен софт , который управляет всеми его многочисленными устройствами - надо подготовить банкомат к работе.

Готовим банкомат
Обучение
Банкомат надо обучить выдавать купюры. Для этого есть специальная процедура: банкомат отсчитывает по 10 листов из каждой кассеты и предлагает оператору ввести реальное количество отсчитанных листов. Если реальное количество отличается - банкомат откорректирует оптопары в тракте выдачи и предложит повторить процедуру.

Из опыта у меня всего пару раз банкомат ошибался, то есть, как правило, они с завода уже неплохо откалиброваны.

Ключи шифрования
В банкомат загружают 2 ключа шифрования:
мастер-ключ (MASTER KEY) - используется для шифрования ПИН-блока введённого клиентом.
коммуникационный ключ (COMM KEY) - для шифрования пакета к FrontEnd процессинга.

На HSM генерируются открытая и закрытая компонента каждого ключа, после чего открытая компонента прописывается во FrontEnd, а закрытая загружается в банкомат.
Оба ключа загружаются в ПИН-клавиатуру (EPP Encrypted Pin Pad) и хранятся только там. По сути EPP - это такой маленький HSM, который не умеет генерировать ключи, но умеет очень хорошо их хранить. Когда я плотно работал с банкоматами - EPP имели 7 ступеней защиты от физического проникновения.

После этого прописываем адрес процессинга, настраиваем VPN или что там придумают бойцы телекоммуникаций, и можно загружать сценарий работы банкомата.

Сценарий
Про сценарий уже было сказано в статье, на которую я ссылался, хочу лишь немного добавить.
Весь сценарий банкомата основан на так называемых ФИТах (Financial Institution Table).
FIT - не что иное, как БИН банка выданный VISA.
Например: для нашего родного банка мы позволим делать переводы с карты на карту, возможность просмотреть детали по вкладу и внести наличные на карточный счёт в дополнение к обычным возможностям (баланс, выдача наличных), а для всех остальных только баланс и выдача.

Таким образом, мы должны загрузить неколько ФИТов в банкомат:

  • 400001, 400002, 400003 - позволим всё и вся
  • 999999 - только выдача и баланс

Сценарий проверяет номер карты клиента и работает по первому совпадению в ФИТ-таблице.

Итак, мы полностью подготовили весь комплекс к работе, осталось самое главное: совершить транзакцию.

Транзакция
Самый простой сценарий: наш клиент в нашем АТМ:
  1. Клиент вставляет карту в АТМ;
  2. АТМ видит что клиент наш и выдаёт ему опции;
  3. Клиент выбирает: выдача, 100 рублей
  4. Банкомат шифрует ПИН-блок мастер-ключом;
  5. Шифрует всё сообщение коммуникационным ключом и отправляет в FrontEnd;
  6. FrontEnd получает сообщение;
  7. по ID определяет банкомат (каждый банкомат подключается на свой собственный порт, так что ID получить проблем никаких);
  8. Расшифровывает сообщение открытой компонентой коммуникационого ключа;
  9. по БИН понимает, что карта наша;
  10. Расшифровывает ПИН-блок открытой компонентой мастер-ключа;
  11. Обрабатывает запрос на списание (есть ли деньги, не исчерпаны ли лимиты и всё такое прочее);
  12. Зашифровывает сообщение открытой компонентой коммуникационого ключа;
  13. Отправляет банкомату;
  14. Банкомат расшифровывает сообщение;
  15. Сообщает результат клиенту;
  16. Уведомляет хост, что деньги выданы (так же с шифрованием и всем прочим).

Стоит отметить, что всё шифрование на стороне хоста осуществляется при помощи HSM.
То есть шаги 8 и 9 в деталях выглядят так:

  1. Хост отправляет зашифрованный ПИН-блок, мастер-ключ и контрольную сумму на HSM;
  2. HSM расшифровывает ПИН-блок;
  3. Сверяет контрольную сумму после расшифровки с присланной;
  4. Зашифровывает открытый ПИН-блок при помощи IWK и считает контрольную сумму;
  5. Если контрольные суммы открытого ПИН-блока и зашифрованного IWK равны - ПИН введён верно.

Клиент получает свои 100 рублей и уходит довольный, однако это только половина дела.

В этот момент FrontEnd установил клиенту hold - заморозил на его лимите авторизации (доступная к снятию сумма) 100 рублей, но его текущий счёт никак не изменился.

Здесь стоит немного пояснить: в процессинге нет счетов клиентов - движение денег происходит по так называемым «лимитам авторизации». Фактически, лимит авторизации - не что иное, как карточный счёт клиента, но он никак не фигурирует в плане счетов и бухгалтерском балансе.

  1. на лимит авторизации действуют лимиты процессинга: лимит на единоразовую выдачу, лимит на ежедневную выдачу и так далее;
  2. лимит авторизации может изменяться в течение операционного дня, текущий счёт только в момент закрытия операционного дня.

Вечером текущего дня или утром следующего дня (но, как правило, это делается ночью) закрывается операционный день. Все авторизации карт и суммы холдов выгружаются из FrontEnd и загружаются в BackEnd, где и происходит движение денег по текущим счетам клиентов. После этого финальные отчёты выгружаются в Автоматизированную Банковскую Систему, где хранятся текущие счета клиентов. На основании этих отчётов происходит реальное движение денег, а также во FrontEnd - новые лимиты авторизации (наш клиент из примера выше получает новый лимит авторизации, который меньше на 100 рублей).

Теперь сложнее: Чужой клиент в нашем АТМ:

  1. Клиент вставляет карту в АТМ;
  2. АТМ понимает что клиент чужой, показывает ему только баланс и выдачу;
  3. Клиент выбирает: выдача, 200 рублей
  4. АТМ шифрует ПИН-блок мастер-ключом;
  5. Шифрует сообщение коммуникационным ключом;
  6. Отправляет сообщение на FrontEnd;
  7. FrontEnd расшифровывает сообщение открытой компонентой коммуникационого ключа;
  8. Определяет что БИН не наш и надо его отправить в VISA;
  9. FrontEnd зашифровывает сообщение компонентой AWK (так как мы в данном случае эквайер) и отправляет в VISA;
  10. VISA получает от нас сообщение, расшифровывает его второй компонентой нашего AWK и по БИНу определяет какого банка это карта;
  11. Зашифровывает сообщение компонентой IWK (так как обращается к эмитенту) того банка, который выпустил эту карту и отправляет сообщение;
  12. Банк-эмитент получает сообщение:
  13. Расшифровывает сообщение при помощи закрытой компоненты IWK (тут сразу понятно что карта наша, БИН смотреть нет смысла);
  14. Расшифровывает ПИН-блок;
  15. Авторизует карту (даёт добро на выдачу 200 рублей);
  16. Зашифровывает сообщение закрытой компонентой IWK и отправляет в VISA;
  17. VISA расшифровывает открытой компонентой IWK банка-эмитента, зашифровывает открытой компонентой AWK нашего банка и отправляет нам;
  18. Мы расшифровываем сообщение закрытой компонентой AWK;
  19. Записываем результат транзакции;
  20. Зашифровываем открытой компонентой коммуникационого ключа нужного банкомата и отправляем ему сообщение;
  21. Банкомат получает сообщение, расшифровывает его и выдаёт клиенту деньги;
  22. Уведомляет хост, что деньги выданы (опять же, шифрую все сообщения);
  23. Мы уведомляем банк-эмитент, что деньги успешно выданы;

Это была только авторизация, то есть реальных денег никто никому не перечислил. Теперь нам надо получить финсообщение об этой транзакции и получить возмещение от другого банка: 200 рублей наших денег, которые мы выдали его клиенту.

  1. Мы отправляем в VISA отчёт (оффлайном, медленно и печально) о том, что не наш клиент с номером карты таким-то получил 200 рублей в нашем банкомате;
  2. VISA отправляет требование банку-эмитенту перечислить нам 200 рублей и ещё 0,5% от суммы транзакции, но не менее $3 самой VISA за то, что она провела транзакцию через себя. Это есть так называемый interchange fee;
  3. Банк-эмитент получает файлы от VISA, закрывает свой операционный день в процессинге, потом закрывает день в Автоматизированной Банковской Системе и переводит через корр. банк VISA на наш счёт наших 200 рублей;
  4. Рассчитывается с VISA (покрывает interchange fee)

Само собой, все такие расчёты осуществляются в долларах, и тут играет роль курсовая разница, но это уже совсем другая история…

UPD: В комментариях, товарищ

Процессинг транзакций

Процессинг - собственный или третьесторонний: за и против

Процессинговый центр (ПЦ) - организационно-технологическое подразделение финансового института или специализированной компании, осуществляющее поддержание жизненного цикла банковских продуктов на основе пластиковых карт. В перечень функций, выполняемых ПЦ, входит обслуживание жизненного цикла карты, подключение и мониторинг сети терминальных устройств, захват и техническая обработка (процессинг) транзакций, подготовка данных для осуществления взаиморасчетов (клиринга) с клиентами и контрагентами. Отдельной функцией, которую в ряде случаев также выполняет ПЦ, является персонализация карт.

При реализации проектов с использованием пластиковых карт существуют три основные технологические схемы - с использованием собственного процессинга (in house), стороннего или в соответствии с терминологией международных платежных систем, - третьестороннего процессинга (third party processor или member service provider), а также комбинированная схема.

В первом случае выполнение всех технологических функций, связанных с обслуживанием пластиковых карт, производится персоналом финансового института с использованием программно-аппаратного комплекса, принадлежащего ему же.

Во втором случае основные технологические функции передаются на выполнение (аутсорсинг) сторонней организации, сертифицированной платежными системами на предоставление подобного рода услуг - третье-стороннему процессору (third party processor или member service provider).

В третьем случае часть функций (например, поддержка эмиссии и продуктового ряда) выполняется непосредственно на технологических мощностях банка, а другая часть (поддержка терминальной сети, обслуживание подключений к платежным системам, подготовка данных для клиринга) - сторонним процессором.

Выбор схемы процессинга для пластикового проекта банка определяется в первую очередь экономическими причинами, однако важную роль при принятии решения играет также оценка потенциальных рисков рассматриваемых альтернатив - как бизнес, так и технических. Поэтому к моменту принятия решения о технологической части проекта, банк должен иметь четкую концепцию развития бизнеса с пластиковыми картами, оформленную в виде бизнес-плана с перспективой на несколько ближайших лет, в котором обозначены как минимум следующие параметры:

Продуктовый ряд и позиционирование банка на рынке (какие тенденции имеются на рынке, какие продукты банк собирается предлагать, какую долю рынка планирует занять и на чем предполагает зарабатывать);

Параметры эмиссии (какие карты какой платежной системы выбраны для проекта, соотношение транзакций в своей и в чужой сети, коэффициенты использования карты);

Экономика продуктов (затратная и доходная части);

Характеристика терминальной сети (наличие собственной терминальной сети и терминальной сети других банков, работающих в регионе; стоимость доступа к чужой терминальной сети по тарифам присутствующих в регионе платежных систем);

Финансовые возможности и амбиции банка (сколько мы готовы вложить в инфраструктуру этого проекта).

Для понимания доли технологической составляющей, рассмотрим вкратце типичную экономику проекта по выпуску и обслуживанию продуктов с пластиковыми картами. Банк работает с клиентами и получает прибыль от их обслуживания - доходную и расходную составляющие можно приближенно представить в виде следующей таблицы (табл. 1).

Из табл. 1 видно, что существенную долю расходов финансового института составляют транзакционные платы в пользу процессора. При этом с увеличением объема эмиссии и количества устройств, принадлежащих банку, вес технологической составляющей в расходной части проекта увеличивается.

Рассмотрим, из чего складывается экономика работы процессора (табл. 2).

Из табл. 2 следует, что значимую долю в расходах процессора составляют единовременные инвестиции в построение и сертификацию датацентра и центра персонализации, а также регулярные затраты на поддержание их работоспособности. Поэтому очевидно, что для небольших эмиссионных проектов (оценочно до 50 000 карт) организация собственного полнофункционального процессинга как правило не окупается.

Существенную роль при выборе решения для обработки транзакций играет оценка технологических и бизнес-рисков. В частности, при выборе стороннего процессора следует обратить внимание на такие факторы, как размер бизнеса и организационная структура компании, предлагаемый продуктовый ряд, используемые технологические решения, существующую клиентскую базу процессора в вашем регионе (какие финансовые институты и с каким продуктовым рядом). Особое внимание следует обратить на договорную базу - наличие прописанных процедур взаимодействия, термины соглашения об уровне сервиса (SLA - Service Level Agreement). Неприятным сюрпризом для банка может оказаться наличие в договоре с процессором exit fee - обязательства компенсировать те или иные затраты, либо выплатить штраф в размере предполагаемого оборота за срок действия договора в случае его досрочного расторжения.

Основные аргументы в пользу того или иного решения приведены в табл. 3.

Ещё одним ограничением при выборе процессора для банков, вступающих в платежные системы под спонсорством другого финансового института, является тот факт, что обычно условия спонсорского пакета предусматривают имплементацию на процессоре, аффилированным с данным финансовым институтом.

В настоящее время на рынке процессинговых услуг в России присутствует достаточное количество игроков, как отечественных (ЗАО «Компания объединенных кредитных карт», ряд банков, предлагающих услуги процессинга в составе спонсорских пакетов), так и зарубежных (First Data Inc., Global Payments Inc.) с конкурирующими тарифами. Поэтому представляется, что выбор технологического партнера для реализации карточного проекта при наличии четкого понимания его предполагаемой экономики не должен представлять затруднений.

Технология работы финансового института с процессором

Как известно, в организационно-технологическом плане процессинговые системы можно разделить на фронт-офис, бэк-офис, центр персонализации и инфраструктурные подсистемы, не участвующие напрямую в процессе авторизации транзакций и персонализации пластика (рис. 1).

Рассмотрим элементы технологических процессов, связанных с обслуживанием транзакционного и жизненного циклов карты, с указанием технологических подсистем процессингового центра и участвующих подразделений процессора и финансового института (табл. 4).

Очевидно, что часть процессов, перечисленных в табл. 4, может выполнять процессор, часть - банк.

Существуют два предельных случая - оффлайновое (рис. 2, 3) и онлайновое взаимодействие банка с процессором (рис. 4). При онлайновом подключении авторизация транзакций происходит в реальном времени против актуальных значений остатков средств на счетах клиента в АБС банка. Часть функций персонала процессора делегирована подразделениям банка с помощью средств удаленного доступа к фронт- и бэк-офисным подсистемам процессора. Тем не менее, основной обмен информацией, имеющей финансовые последствия (поручения на выпуск карт, клиринговые файлы и т. п.) производится файлами с использованием нотаризованного документооборота. Достоинствами данного способа работы с процессором является оперативность доступа к данным, приближающая возможности банка к возможностям работы с собственным процессингом, без необходимости построения последнего и, как следствие, более низкие риски. Недостатками являются более высокие затраты на коммуникации и необходимость в ряде случаев иметь квалифицированный персонал, дублирующий персонал процессора.

При оффлайновом взаимодействии с финансовым институтом процессор авторизует транзакции по лимитам, предоставляемым с определенной периодичностью. Банк же обрабатывает транзакционные отчеты, предоставляемые процессором и осуществляет учет операций в своем бэк-офисе. Весь обмен данными с банком осуществляется также путем нотаризованного документооборота. Преимуществом данного способа являются крайне низкие первоначальные затраты для старта карточной программы (фактически - закупка ПО карточного бэк-офиса, совместимого по форматам обмена данными с процессором). Недостатками являются более высокие риски и отсутствие гибкости - продуктовый ряд ограничен возможностями взаимодействия с провайдером услуг, а предоставляемый сервис - возможностями его клиентской службы.

Следует отметить, что в реальной жизни в настоящее время чисто оффлайновая схема практически не используется. Использование средств удаленного доступа к ресурсам процессора и организация нескольких сеансов файлового обмена с процессором в день приближают её по возможностям к онлайну.

Построение процессингового центра банка

Построение процессингового центра банка является многостадийным проектом, в ходе реализации которого необходимо решить комплекс задач по проектированию и подготовке помещений, инженерной инфраструктуры, выбору программно-аппаратной платформы, разработке организационных процедур.

Особое внимание на стадии проектирования должно быть уделено вопросам физической, логической и информационной безопасности, так как внесение изменений в уже реализованные элементы конструкций и инфраструктуры по результатам аудитов (помещения, элементы программно-аппаратного комплекса) может быть сопряжено со значительными финансовыми и временными затратами. Привлечение к процессу проектирования внешних консультантов и поставщиков, знакомых с процедурами аудита и требованиями платежных систем, позволит избежать возможных ошибок и дополнительных затрат на их устранение.

В процессе построения и ввода в эксплуатацию процессингового центра, как и в создании любой автоматизированной системы управления, можно выделить несколько стадий (табл. 5).

Отдельным вопросом при построении ПЦ является выбор программно-аппаратной платформы, так как именно она определяет пользовательские характеристики всей системы. В мире существует достаточное количество поставщиков решений для обработки транзакций с использованием пластиковых карт. Заинтересованный специалист без труда составит список на основе публикаций в профильной прессе («European Card Review», «ПЛАС») либо по каталогам отраслевых выставок типа CARTES (.

Share
Share
Tweet
Like
Like

Читайте также

THE BELL

Есть те, кто прочитали эту новость раньше вас.
Подпишитесь, чтобы получать статьи свежими.
Email
Имя
Фамилия
Как вы хотите читать The Bell
Без спама