Организационная структура процессингового центра

Рассматривая организационную структуру процессинга (рис. 6), будем исходить из предположения, что наш процессинговый центр является организационной единицей вне банка, т. е. предоставляет банкам услуги процессинга.

В этом случае подразделения, отвечающие за разработку продуктов, взаимоотношения и расчеты с платежными системами в составе процессинга отсутствуют (являются банковскими), а процессинг представлен в основном технологическими и операционными подразделениями.

В табл. 7 приведены функции основных подразделений процессингового центра согласно изображенной диаграмме.

— процедуры

Организация технологического взаимодействия процессора и служб банка

Повседневная деятельность подразделений процессингового центра и их взаимодействие с финансовыми институтами и платежными системами регламентируется процедурами.

Процедуры процессингового центра должны быть формализованы, утверждены руководителями задействованных подразделений, а также регулярно пересматриваться с определенной периодичностью.

В табл.

8 приведен ряд основных процедур, а также задействованные в них подразделения.

Безопасность процессинговых центров

Одним из наиболее важных практических аспектов функционирования процессингового центра банка является обеспечение его безопасности. В отличие от обычных информационных систем процессинговый центр банка содержит информацию о реквизитах, позволяющих получить доступ к деньгам клиентов, и компрометация этих данных может привести к значительным финансовым потерям. Вот почему существенная доля затрат при создании и функционировании процессинга связана с расходами на обеспечение безопасности.

Рассмотрим некоторые аспекты безопасности процессинговых центров.

Физическая безопасность — подразумевает ограничение доступа неавторизованного персонала на территорию центров обработки данных и персонализации, а также устойчивость указанных зданий к внешним воздействиям.

В помещениях и технических зонах должны быть использованы средства контроля доступа (далее — СКД), в зонах особого режима — технические средства охраны и видеонаблюдения.

Организационно-техническая безопасность — подразумевает существование службы офицеров безопасности (security officers). К обязательным мерам относится наличие процедур, регламентирующих жизненный цикл криптографических ключей (key management), наличие и исполнение процедур доступа к данным и криптографической информации, а также процедуры аудита.

В информационной системе процессингового центра должны использоваться средства аутентификации, разграничения доступа и аудита.

Обязательным правилом должно быть наличие раздельных сред разработки, тестирования и эксплуатации приложений, с вынесением среды эксплуатации в отдельный программно-аппаратный комплекс. Все новые программные и технические средства должны предварительно проходить тестирование в специально выделенных средах. Желательно также, чтобы разработкой и сопровождением системы занимались отдельные подразделения процессингового центра.

Транзакционная безопасность — комплекс мер, направленных на обеспечение целостности информационного обмена между хостами и устройствами, предотвращение фальсификации данных и невозможности получения ПИН-кодов из данных транзакций. Технически обеспечивается использованием многоступенчатой системы ключей для шифрования ПИН-блоков (одноразовые сессионные ключи устройств, транспортные ключи для интерфейсов), применением MAC-кодов (Message Authentication Code) для подтверждения целостности сообщений, использованием аппаратных средств шифрования (HSM — Hardware Security Module) для хранения криптографических данных и выполнения операций трансляции и проверки ПИН-кодов.

Важное значение имеет также проверка соответствия данных транзакции данным магнитной полосы карты, а также данным, находящимся в БД процессинга — это позволяет отсекать процедуры подбора карты.

Управление рисками — заключается в использовании технических средств и организационных процедур, минимизирующих или позволяющих контролировать различные категории рисков.

К техническим средствам управления рисками можно отнести использование программно-аппаратных средств, позволяющих анализировать авторизационный траффик, базу данных с историей транзакций и сообщениями претензионного цикла и на основе правил (rule-based) или нейронных сетей детектировать различного рода атаки и вероятные мошенничества.

К организационно-техническим средствам можно отнести интерфейсы с базами данных международных платежных систем, содержащих информацию о случаях мошенничества и недобросовестной деловой практики, например, System to avoid fraud effectively (SAFE), Member alert to control high-risk (MATCH), National merchant alert system (NMAS).

К организационным средствам управления рисками можно отнести проверку и аттестацию персонала, имеющего доступ к критическим данным.

Безопасность процедур персонализации должна обеспечиваться еще на стадии проектирования центра, исходя из требований последующей сертификации в международных платежных системах.

В частности, планировка и конструкция помещений должны предусматривать ряд зон (производственная зона, зона приема-передачи, зона печати ПИН-конвертов, зона хранения и т. п.), оборудованных техническими средствами ограничения доступа, мониторинга и аудита. Особое внимание также должно быть уделено подбору персонала.

<< | >>

↑

Источник: А. Бабаева. Платежные карты: Бизнес-энциклопедия. 2008

Еще по теме Организационная структура процессингового центра:

- Автоматизация - Банковское дело - Бюджет - Валовыой доход - Государственные финансы‎ - Инфляция - Ипотека - Капитал - Коммерция - Кредит - Лизинг - Оффшорные зоны - Пенсионное обеспечение - Психология - Страхование - Финансовые рынки - Хеджирование - Ценные бумаги -

- Kлассическая проза - Боевик - Детективы,мистика - Детская литература - Медицина , психология и психотерапия семьи - Педагогика ,Наука,История - Фантастика - Финансы - Эзотерика , Хобби и ремесла -