Council), образованным пятью ведущими платежными системами American Express, Discover Financial Services, JCB, MasterCard и VISA, был опубликован стандарт защиты информации в индустрии платежных карт — Payment Card Industry Data Security Standard (PCI DSS).
Данный стандарт объединяет в себе требования ряда нормативных документов платежных систем в области защиты информации, в частности:
• Visa Europe & other regions: Account information security (AIS);
• Visa USA: Cardholder information security (CISP);
• MasterCard: Site data protection (SDP).
Требования стандарта распространяются на все компании (процессинговые центры, платежные шлюзы, провайдеры интернет), работающие с международными платежными системами. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей, выполняемые сертифицированными аудиторами.
Стандарт PCI DSS устанавливает следующие области контроля и 12 основных требований, которым должна соответствовать организация для аттестации на соответствие стандарту.
I.
1. Создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей карт;
2. Неиспользование уставленных по умолчанию поставщиками решений системных паролей и иных параметров безопасности.
II.
3. Обеспечение защиты данных держателей карт в процессе хранения;
4. Обеспечение пересылки данных держателей карт в зашифрованном виде при их передаче через незащищенные и общедоступные сети.
III.
5. Использование и регулярное обновление антивирусного программного обеспечения;
6. Разработка и поддержка защищенных (безопасных) систем и приложений.
IV.
7. Ограничение доступа к данным по принципу служебной необходимости;
8. Присвоение уникального идентификатора каждому лицу, располагающему доступом к компьютеру;
9. Ограничение физического доступа к данным держателей карт
V.
10: Запись и отслеживание всех сеансов доступа к ресурсам сети и данным держателей карт;
11. Регулярное тестирование систем и процессов обеспечения безопасности.
VI.
12. Наличие и исполнение в организации политики информационной безопасности[238].
В приведенном разделе мы вкратце постарались осветить основные аспекты, связанные с обработкой транзакций по банковским картам — технологические вопросы организации процессинга, организационную структуру, процедуры и вопросы безопасности.
Тем не менее, не претендуя на полноту освещения данных вопросов, мы надеемся, что приведенный материал окажется полезным читателю как при общем изучении данного вопроса, так и при реализации конкретных проектов.
Оборудование для обслуживания платежных карт
Терминалы, банкоматы, ПИН-пады являются фронтофисными устройствами для обслуживания банковских карт, которые устанавливаются в торгово-сервисных предприятиях (объединенных в эквайринговые сети платежных систем) и в пункты обслуживания банков
Торговый терминал для обслуживания карт обслуживается как правило кассиром, но может являться и системой самообслуживания (например, автомат по продаже билетов).
Первыми устройствами для приема банковских карт в торгово-сервисных предприятиях были ручные импринтеры
Первым электронным POS-терминалом[239] принято считать устройство, поставленное Visa в 1979 г. в торговую точку. Он был громоздким и неудобным, а время операции по карте на нем доходило до 5 минут.
С тех пор произошла смена многих технологий в различных смежных областях (электронике, криптографии, связи), на смену магнитным картам пришли микропроцессорные, усилились требования по безопасности и времени проведения операций с картами, но не изменилось назначение POS-терминалов — проведение операций оплаты товаров и услуг в торгово-сервисных предприятиях с использованием платежной банковской карты.
При этом главным критерием остается безопасность и скорость обслуживания. Как отмечают эксперты, сокращение времени транзакции всего на 1 секунду может сэкономить крупной сети магазинов крупные суммы только на зарплате кассиров. Эффект же от улучшения впечатлений покупателей еще более значителен. Согласно одному из социологических исследований компании NCR, проведенных в Европе, основным впечатлением от регулярного похода по магазинам для людей становится раздражение, вызываемое очередями, особенно в кассовых зонах супермаркетов. Поскольку в целом уровень жизни все время растет, люди переносят свои положительные впечатления и на все остальные сферы деятельности, и у них формируются завышенные ожидания. В результате, очереди в магазинах их особенно раздражают. В действительности, 54 % европейцев проводят в очередях от получаса до четырех часов еженедельно.
Кроме того, российское отделение платежной системы VISA в письме от 31 января 2007 г. выдвинуло рекомендации по времени транзакции на POS-устройстве: для торговых точек с количеством операций по картам VISA более 750 в месяц установлено максимально допустимое время проведения транзакции не более 30 секунд в случае 90 % операций. Можно предположить, что и остальные платежные системы в скором времени будут контролировать этот важный технический параметр.
Типы устройств. Несмотря на общность решаемых задач, спектр POS-терминалов довольно широк, что вызвано прежде всего попытками решить бизнес-задачи продавца (merchant в терминологии международных платежных систем) в привязке к его бизнес-процессам или топологической модели.
Одной из задач продавца является автоматизация торгово-сервисного предприятия. По этому критерию POS-терминалы делятся на обслуживаемые оператором или кассиром
Терминалы самообслуживания устанавливаются на автоматизированных АЗС, в пунктах продажи
