20 июня, 2011, BIS Journal №2(2)/2011

Процессинг – на аутсорсинг


Бурдело Иван

Директор департамента информационной безопасности (ООО «КАБЕСТ»)

Услуги внешних процессинговых центров могут избавить банки от значительной части забот по выполнению требований PCI DSS

Российские банки постепенно приходят к мысли о необходимости вынесения процессинга за пределы сферы своей деятельности. Подобно тому, как в определённый момент перестали нанимать уборщиц, перепоручив уборку помещений клининговым компаниям, так теперь банки избавляются от хлопот, связанных с таким «непрофильным направлением» как процессинг. Тем самым банки избавляются от большей части забот о соответствии стандарту PCI DSS.

У НАС ПОКА НЕ «КАК У НИХ»

Вплоть до последнего времени в России каждый крупный банк, имеющий разветвлённую филиальную сеть и занимающийся розницей, предпочитал завести свой процессинговый центр и самостоятельно заниматься обработкой запросов держателей пластиковых карт и соответствующими транзакциями. Как известно, такой центр – отдельная структура, которая обеспечивает информационное и технологическое взаимодействие между участниками расчётов по банковским пластиковым карточкам.

Однако за рубежом процессинг не является частью банковской деятельности, а находится в сфере компетенции информационных систем. Обработка платёжной информации делегируется специализированным компаниям.

Стандартная европейская практика заключается в том, что процессинговый центр(1) существует самостоятельно и обслуживает сразу несколько банков. В странах Скандинавии и Прибалтики, например, работают десятки банков, но всего несколько процессинговых центров. По большому счёту, банку невыгодно содержать свой процессинговый центр – это лишние расходы на персонал, техническую поддержку, проверку на соответствие стандарту PCI DSS. Отдавая всё это на аутсорсинг, банк лишается серьёзной головной боли.

По тем же причинам помимо банков, в услугах внешних процессинговых центров нередко заинтересованы крупные мёрчанты(2) – компании, получающие значительное число платежей по пластиковым карточкам.

Примером подобных компаний, пользующихся услугами внешних процессинговых центров, могут служить авиакомпании, которые продают электронные билеты на рейсы через Интернет и принимают банковские карточки пассажиров на борту во время полёта (например, для оплаты товаров магазинов duty-free).

В чём причина возросшего интереса к услугам независимых процессинговых центров? Дело в том, что передавая процес-синг транзакций на аутсорсинг, банк:

  • во-первых, избавляется от «непрофильной» деятельности, полностью сосредотачиваясь на развитие собственно банковских продуктов и услуг;
  • во-вторых, перекладывает на аутсорсинговую компанию большую часть проблем и издержек, как по постоянной модернизации IT-систем, так и соответствию требованиям стандарта PCI DSS;
  • в-третьих, значительно снижаются операционные риски банка и появляются определённые юридические гарантии.

В результате этого, каждый занимается своим бизнесом и сосредотачивается на качественном предоставлении своих специализированных услуг.

ПРОЦЕССИНГ ПОШЁЛ И «У НАС»

Постепенно к мысли о необходимости вынесения процес-синга за пределы собственно банковской деятельности приходят и отечественные банки. Однако пока мы чаще наблюдаем выделение собственного процессинга банка в независимую компанию с прицелом оказывать подобные услуги другим банкам. И такие примеры есть уже в России, когда бывший процессинговый центр банка оказывает услуги не только своему «родному» банку, но и внешним компаниям.

Есть так же и иная интересная тенденция – создание производителями продуктов для карточного бизнеса процессингового центра, основанного на собственных продуктах. Мы участвуем в реализации подобного проекта в России. Проект сложен и необычен даже по европейским меркам тем, что в его реализации участвуют несколько аутсорсеров.

Кроме того, постепенно зарубежные процессинговые центры начинают проявлять интерес к российскому рынку.

ВСЕГО НА СТОРОНУ НЕ ОТДАШЬ

Не хочу, чтобы возникла иллюзия, что все процессы банка можно отдать на аутсорсинг, и тем самым полностью отстраниться от требований стандарта PCI DSS – мол, всё во внешних компаниях, у них и спрашивайте сертификат.

Действительно стандарт PCI DSS и требования платёжных систем в основном направлены на эквайринг. Это связанно с тем, что именно там, в основном, сосредоточена информация о транзакциях пластиковых карт, которая требует максимальной защиты. Однако в самом банке всё же остается часть процессов, связанных с пластиковыми карточками. Тем не менее, аутсорсинговая схема сильно упрощает банку процедуру соответствия PCI DSS:

  • самому банку уже не требуется получения подтверждения;
  • соответствия от платёжных систем, а достаточно иметь отчет о соответствии (reportofcompliance);
  • банк должен потребовать от своих аутсорсеров (имеется в виду процессинговый центр) наличие у них сертификата по PCI DSS;
  • банк (реже процессинговый центр) должен потребовать от своих мёрчантов (предприятий торгово-сервисной сети) и поставщиков услуг (serviceproviders), в зависимости от их класса – либо заполненные листы самооценки (SAQ), либо наличие отчета о соответствии (report of compliance) PCI DSS.

КАЧЕСТВЕННЫЕ УСЛУГИ ДЛЯ КАЧЕСТВЕННЫХ ПРОЕКТОВ

Компания ООО «КАБЕСТ», входящая в группу «Астерос», изначально специализируется на консалтинговых услугах в области информационной безопасности. «Астерос» является одним из крупнейших российских системных интеграторов, который постоянно усиливает свои позиции по оценкам рейтинговых агентств(3). В связи с этим нам было необходимо партнерство с ведущей аудиторской компанией в сфере PCI DSS, причём без конфликта интересов.

В «КАБЕСТ» приняли решение работать в партнерстве с международным QSA-аудитором FortConsult, штаб-квартира которого расположена в Дании. Подобные тандемы сегодня не редкость. Однако преимущества нашего тандема заключается в следующем:

  • качество услуг для своих клиентов. Каждая компания имеет гигантский опыт в своём направлении и по праву считается лидером;
  • независимость и отсутствие конфликта интересов. В проектах по PCI DSS «КАБЕСТ» подготавливает банк к сертификации, но сам аудит проводит независимая компания FortConsult. Согласитесь, некорректным было бы аудировать свои же результаты работы. Пока в России, в отличие от Европы, такой независимости не уделяется повышенного внимания со стороны клиентов, но мы считаем это важным.

В качестве партнёра «КАБЕСТ» не случайно выбрал известного европейского аудитора. Многие российские компании обладают международным статусом QSA-аудитора, но европейские коллеги пока обладают во много раз большим опытом. Дополнительными критериями выбора было наличие квалификации и опыта работы по PA DSS и опыта работы на постсоветском пространстве. Всего на счету FortConsult более 250 успешно завершенных контрактов. На территории России и Казахстана уже были выполнены или находятся на стадии завершения более 10 проектов. Примером такого успешного сотрудничества в СНГ может служить работа с АО «Народный банк Казахстана». Банк эмитирует карточки платежных систем Visa International, MasterCard International, China Union Pay и остаётся неизменным лидером на казахстанском рынке платёжных карточек. Общее количество карточек банка в обращении превысило 2,7 млн единиц, что составляет около 40% пользователей платёжных карточек в Казахстане.

ПЕРЕНИМАЯ ОПЫТ

Вернёмся к непростому проекту по созданию процессинго-вого центра (в котором задействовано несколько юридически независимых аутсорсеров). Стоит отметить, что не каждая российская компания справилась бы с ним просто из-за недостатка практического опыта решения подобных задач. В тоже время большой опыт специалистов FortConsult позволил нам решить эту задачу и резко снизить затраты клиента при реализации проекта.

Совместная реализация данного проекта позволила компании «КАБЕСТ» накопить собственный ценный опыт в этой сфере, который, несомненно, будет востребован.

ПЕРСПЕКТИВЫ В РОССИИ

Следует учитывать, что аудит по PCI DSS – необходимый элемент индустрии платёжных карт. В Государственной Думе Российской Федерации обсуждается законопроект, обязывающий магазины принимать банковские карты в качестве средства оплаты. В связи с этим значение QSA-аудита на соответствие требованиям PСI DSS возрастает многократно.

Кроме того, сейчас в Банке России рассматривается вопрос более полного учёта требований стандарта PCI DSS в Комплексе документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Как мы надеемся, это упорядочит построение систем ИБ, снизит их стоимость. Кроме того, такая комплексная система будет удовлетворять как требованиям российских регулирующих органов (ФСТЭК, ФСБ, Роскомнадзор, Банк России), международных платёжных систем (VISA, MasterCard и др.), так и перспективе, требованиям национальной платёжной системы России.

______________________________________________________________

1 Third Party Processors TTP
2 От англ. merechant– предприятия торгово-сервисной сети (например, магазины, отели)
3 Подробнее см. РА «Эксперт», аналитическое агентство CNews, аналитический центр РИА «Новости», еженедельник «Финанс.»

 

 

Смотрите также

Подпишись на новости!
Подписаться