- Основные термины
- Автоматизированная банковская система
- Альтернативные схемы обработки
- Арм кбр
- Глава 2. инфраструктура безналичных расчетов
- Интернет-эквайринг «для чайников»
- Информационные сервисы
- Инфраструктура обеспечения платежного взаимодействия с банком россии
- Инфраструктурные информационные системы
- Клиентские части сторонних информационных систем
- Модули интеграции
- Перенос электронной подписи из арм кбр в абс
- Прикладные информационные системы
- Пример ит-инфраструктуры банка
- Программа безопасности
- Работа без госзакупок
- Система электронного сертификата открыта для подключения банков и продавцов технических средств реабилитации
- Скад сигнатура
- Технические средства взаимодействия с платежной системой банка россии
- Типовые способы интеграции информационных систем
- Заключение
Основные термины
В 90-x годах прошлого века в ГОСТах и нормативных документах
(тогда еще Гостехкомиссии при Президенте РФ) часто употреблялся термин —
автоматизированная система
дает следующее определение данного термина:
автоматизированная система; AC: Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Спустя некоторое время, в обиход вошел новый термин —
информационная система
. В
данный термин определяется следующим образом:
информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
В рамках данного исследования оба термина будут использоваться как синонимы.
Справедливость подобного подхода можно доказать тем, что в Приказе ФСТЭК России от 11.02.2021 N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» для защиты информационных систем госрегулятор предписывает руководствоваться ГОСТами по автоматизированным системам.
Помимо информационных систем в IT-инфраструктуре банка можно выделить еще один тип элементов — информационные сервисы, или, как их часто называют, роботы.
Дать определение понятию информационный сервис довольно сложно, поэтому просто перечислим его основные отличия от информационной системы:
- Информационный сервис гораздо проще информационной системы, но в тоже время его нельзя назвать компонентом последней, поскольку результатами его работы могут пользоваться одновременно несколько информационных систем.
- Информационные сервисы предназначены для автоматизации простых, рутинных задач.
- Информационные сервисы не содержат в своем составе базы данных.
- Информационные сервисы работают в автоматическом режиме без участия (или с минимальным участием) человека.
Автоматизированная банковская система
Ядром информационной инфраструктуры любого банка является
автоматизированная банковская система
или сокращенно
АБС
Стандарт Банка России СТО БР ИББС-1.0-2021 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» определяет АБС следующим образом:
автоматизированная система, реализующая банковский технологический процесс.
Данное определение позволяет подвести под него практически любую IT-систему в банке. В то же время обычные банковские служащие называют
АБС
ту систему, которая занимается учетом банковских счетов, проводок между ними (движением денежных средств) и остатков. Второе определение не противоречит первому и более четко его детализирует, им и будем пользоваться дальше.
В современных Российских банках наиболее распространенными являются следующие АБС :
Некоторые, особо большие банки используют не тиражные, а специально разработанные под них
АБС
. Но подобные случаи единичны, собственно как и особо большие банки.
Иногда в банках параллельно используют несколько АБС различных производителей. Зачастую это происходит, когда банк пытается перейти с одной АБС на другую, но возможны и менее тривиальные причины.
Альтернативные схемы обработки
Мы рассмотрели «классическую» схему работы системы. В реальности существует множество ее разновидностей. Рассмотрим некоторые из них.
Разновидность 1. Разделение контуров отправки и приема сообщенийРеализуется схема с двумя АРМ КБР. Первый работает с участием человека и выполняет только отправку сообщений, второй работает в автоматическом режиме и выполняет только прием сообщений.
Разновидность 2. Полный автоматАРМ КБР настраивается на работу полностью в автоматическом режиме без участия человека
Разновидность 3. Изолированный АРМ КБРАРМ КБР функционирует как выделенный компьютер, не подключенный к сети банка. Электронные сообщения передаются на него человеком-оператором с помощью ОМНИ.
Арм кбр
АРМ КБР
– это ПО, с помощью которого уполномоченные работники банка осуществляют шифрование и электронную подпись исходящих платежных документов, а также расшифровку и проверку электронной подписи платежных документов, поступающих из Банка России. Но, если быть более точным, то
АРМ КБР
в своей работе оперирует не платежными документами, а электронными сообщениями (ЭС), которые бывают двух типов:
Перечень и форматы электронных сообщений устанавливает Банк России, путем выпуска
Для того чтобы АРМ КБР мог обработать платеж, он должен быть преобразован в файл, содержащий электронное платежное сообщение формата УФЭБС. За подобное преобразование отвечает модуль интеграции АБС с платежной системой Банка России. С технической точки зрения подобные преобразования довольно просты, поскольку формат УФЭБС основан на XML.
Файлы электронных сообщений покидают модуль интеграции АБС в открытом виде и помещаются в специальную папку файловой системы (обычно это сетевая папка), которая настроена в АРМ КБР для электронных сообщений, имеющих статус «Введенные». На ранее представленной схеме (Рис. 2.) эта папка обозначена как «Папка 1».
Затем в процессе обработки электронные сообщения меняют свои статусы на «Контролируемые», «Отправленные» и т. д., что технически реализуется путем перемещения файла с электронным сообщением в соответствующие папки, которые настроены в АРМ КБР. На схеме (Рис. 2.) эти папки обозначены как «Папка 2».
В определенный момент технологической обработки (установленный внутренними регламентами банка) исходящих электронных сообщений они шифруются и подписываются электронной подписью с помощью СКАД Сигнатура и закрытых криптографических ключей ответственных работников.
Глава 2. инфраструктура безналичных расчетов
Если посмотреть на эту схему (
) с точки зрения осуществления безналичных расчетов, то можно увидеть, что банк реализует их при помощи:
Технически прямые корреспондентские отношения с банками-партнерами могут быть организованы с помощью:
Подключение к платежным системам, обслуживающим пластиковые карты, осуществляется через стандартные модули, входящие в состав процессинговых систем.
Для успешного функционирования банк обязан обеспечивать у себя информационную безопасность всех перечисленных способов осуществления платежей. Рассмотреть их в рамках одного, даже крупного исследования весьма проблематично, и поэтому мы сконцентрируемся только на одном наиболее критичном, с точки зрения возможных потерь, направлении — платежном взаимодействии банка с Банком России.
Интернет-эквайринг «для чайников»
Доброго времени суток, хабравчане!
Этой статьей я хочу пролить свет на интернет-эквайринг в целом, рассказать с чем его едят.
Цель статьи: для общего развития.
Электронная коммерция – это сфера экономики, которая включает в себя все финансовые и торговые транзакции, осуществляемые при помощи компьютерных сетей, и бизнес-процессы, связанные с проведением таких транзакций.
К электронной коммерции относят:
• Электронный обмен информацией (Electroniс Data Interchange, EDI),
• Электронное движение капитала (Electronic Funds Transfer, EFS),
• Электронную торговлю (e-trade),
• Электронные деньги (e-cash),
• Электронный маркетинг (e-marketing),
• Электронный банкинг (e-banking),
• Электронные страховые услуги (e-insurance).
Схемы ведения бизнеса:
1) B2B или бизнес-бизнес
Предприятие торгует с другим предприятием. B2B — одно из наиболее перспективных и активно развивающихся направлений электронной коммерции на сегодняшний день. Пример сделки B2B — продажа шаблонов для сайта компаниям для последующего использования в качестве основы дизайна собственного веб-ресурса компании.
2) B2C или бизнес-потребитель
В этом случае предприятие торгует уже напрямую с клиентом (не юридическим, а физическим лицом). Примеры этого вида торговли — традиционные Интернет-магазины, социальная коммерция, или сфера продаж товаров и услуг в социальных сетях.
3) С2С или потребитель-потребитель
Совершение сделок между двумя потребителями, ни один из которых не является предпринимателем в юридическом смысле слова. Как правило, коммерция по схеме С2С осуществляется на сайтах Интернет-аукционов.
Интернет эквайринг – общий термин, которым обозначается прием платежей по пластиковым картам через Интернет с использованием специально разработанного web-интерфейса. Интернет-эквайринг, как составляющая электронной коммерции, представляет собой деятельность кредитной организации (банка-эквайера), включающую в себя осуществление расчетов с организациями электронной коммерции по операциям, совершаемым с использованием банковских карт в сети Интернет. Подключение организаций электронной коммерции банком-эквайером, как правило, осуществляется при технической поддержке Cервис-провайдеров, которые обеспечивают безопасность платежей, используя протокол аутентификации 3-D Secure и SSL, и отвечают за фрод-мониторинг операций, проводимых в Интернет-магазине. Чтобы расплатиться с помощью данной системы необходимо иметь кредитную карту, счет которой предназначен специально для оплаты товаров и услуг не только в интернете, но и в реальных магазинах.
Преимущества использования:
Для организаций:
Глобальный масштаб
Сокращение издержек
Улучшение цепочек поставок
Бизнес всегда открыт (24/7/365)
Персонализация
Быстрый вывод товара на рынок
Низкая стоимость распространения цифровых продуктов
Для потребителей:
Повсеместность
Анонимность
Большой выбор товаров и услуг
Персонализация
Более дешевые продукты и услуги
Оперативная доставка
Электронная социализация
Для общества:
Широкий перечень предоставляемых услуг (например, образование, здравоохранение, коммунальное обслуживание)
Повышение уровня жизни
Повышение национальной безопасности
Уменьшение «цифрового» разрыва
Онлайн продажа/заказ товаров/услуг уменьшает автомобильный трафик и снижает загрязнение окружающей среды
Недостатки:
Для организаций:
Возможные сомнения сторон по поводу принадлежности того или иного проекта к компании (негативная анонимность)
Некоторая сложность в ведении и узаконивании деятельности предприятия в интернете
Для потребителей:
Недоверие потребителя к услугам, продаваемым посредством интернета
Невозможность «потрогать» товар руками
Ожидание доставки приобретенной продукции
Для общества:
Привлекательная платформа для мошенничества (снижение уровня сетевой безопасности)
Вытеснение с рынка коммерческих оффлайн предприятий
Для государства:
Недополучение в бюджет государства налоговых выплат при ведении «серых» схем учета
Участники рынка:
1. Покупатель — Клиент, имеющий компьютер с Web-браузером и доступом в Интернет.
2. Банк-эмитент. Здесь находится расчетный счет покупателя. Банк-эмитент выпускает карточки и является гарантом выполнения финансовых обязательств клиента.
3. Продавцы. Сервера Электронной Коммерции, на которых ведутся каталоги товаров и услуг и принимаются заказы клиентов на покупку.
4. Банки-эквайеры. Каждый продавец имеет единственный банк, в котором он держит свой
расчетный счет (Альфа-банк, Росбанк, ВТБ 24, Райффайзенбанк, ТрансКредитБанк).
Банк Экваер должен иметь собственный процессинг.
5. Платежная система Интернет. Электронные компоненты, являющиеся посредниками между остальными участниками.
6. Традиционная платежная система. Комплекс финансовых и технологических средств для обслуживания карт данного типа. Обеспечение использования карт как средства платежа за товары и услуги, пользование банковскими услугами, проведение взаимозачетов и т.д. (Visa Int., MasterCard WorldWide, Diners Club, Amex, JCB и China Union Pay).
7. Процессинговый центр платежной системы. Организация, обеспечивающая информационное и технологическое взаимодействие между участниками традиционной платежной системы.
8. Расчетный банк платежной системы. Кредитная организация, осуществляющая взаиморасчеты между участниками платежной системы по поручению процессингового центра.
Схема эквайринга:

1. Клиент совершает покупку в Интернет-магазине.
2. При выборе оплаты заказа пластиковой картой клиент переадресуется на авторизационную страницу Провайдера и вводит платежные реквизиты.
3. Провайдер формирует аутентификационный запрос и направляет клиента в систему аутентификации банка-эмитента (ACS).
4. После проведения аутентификации Провайдер направляет информацию для авторизационного запроса Процессору.
5. Процессор направляет запрос на авторизацию операции в международную платежную систему.
6. В зависимости от результата авторизации Процессор формирует сообщение Провайдеру о совершении операции либо отказе.
7. Провайдер информирует Интернет-магазин и клиента о результатах операции.
8. В зависимости от результата операции Интернет-магазин совершает продажу или аннулирует заказ.
9. Процессор направляет клиринговый файл для проведения расчетов в Расчетный банк.
10. Расчетный банк переводит возмещение по совершенным операциям на счет Интернет-магазина.
11. Направление итогового Акта по результатам отчетного периода.
В рамках интернет-эквайринга Сервис провайдеры предлагают широкой
спектр услуг для предприятий электронной торговли:
— Персональный счет;
— Виртуальный терминал — Программа для авторизации платежей через сеть Интернет в режиме реального времени, которая устанавливается на компьютер интернет — магазина или оффлайнового магазина.
— Полный набор методов предотвращения мошенничества,
— Формирование авторизационного запроса или передача файла финансовых транзакций эквайеру для дальнейшего проведения взаиморасчетов;
— Формирование возвратных платежей;
— Внутренние инструменты обнаружения и защиты от мошенничества;
— Мультивалютные платежи
— Клиентская и техническая поддержка 24/7
— Конкурентоспособная политика снижения издержек
— Стандарты безопасности;
— Высокий уровень обслуживания;
— Развитие отношений с компаниями, предоставляющими дополнительные услуги, для увеличения лояльности клиентов.
Фрод
Фрод (от англ. Fraud) — вид мошенничества в области информационных технологий, в частности, несанкционированные действия и неправомочное пользование ресурсами и услугами в сетях связи.
Фрод и кредитные карты
Кардинг (от англ. Carding) — вид мошенничества, при котором производится операция с использованием платежной карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Реквизиты платежных карт, как правило, берут со взломанных серверов интернет-магазинов, платежных и расчетных систем, а также с персональных компьютеров (либо непосредственно, либо через «трояны» и «черви»). Ответственность за такой фрод ложится на продавца, если он не использует 3DSecure.
Фишинг (англ. phishing, искаженное «fishing» — «рыбалка») — создание мошенниками сайта, который будет пользоваться доверием у пользователя, например — сайт, похожий на сайт банка пользователя, через который и происходит похищение реквизитов платежных карт.
Скимминг (от англ. Skim — снимать сливки), при котором используется скиммер — инструмент злоумышленника для считывания, например, магнитной дорожки платёжной карты. При осуществлении данной мошеннической операции используется комплекс скимминговых устройств:
Скиммер — Инструмент для считывания магнитной дорожки платёжной карты — представляет собой устройство, устанавливаемое в картоприёмник, и картридер на входной двери в зону обслуживания клиентов в помещении банка. Представляет собой устройство со считывающей магнитной головкой, усилителем — преобразователем, памятью и переходником для подключения к компьютеру. Скиммеры могут быть портативными, миниатюрными. Основная идея и задача скимминга — считать необходимые данные (содержимое дорожки/трека) магнитной полосы карты для последующего воспроизведения ее на поддельной. Таким образом, при оформлении операции по поддельной карте авторизационный запрос и списание денежных средств по мошеннической транзакции будут осуществлены со счета оригинальной, «скиммированной» карты. Скиммеры могут накапливать украденную информацию о пластиковых
картах, либо дистанционно передавать ее по радиоканалу злоумышленникам, находящимся поблизости. После копирования информации с карты, мошенники изготавливают дубликат карты и, зная ПИН, снимают все деньги в пределах лимита выдачи, как в России, так и за рубежом.
Видеокамера, устанавливаемая на банкомат и направляемая на клавиатуру ввода в виде козырька банкомата либо посторонних накладок, например, рекламных материалов — используется вкупе со скиммером для получения ПИН держателя, что позволяет получать наличные в банкоматах по поддельной карте (имея данные дорожки и ПИН оригинальной).
Данные устройства питаются от автономных источников энергии — миниатюрных батарей электропитания, и, для затруднения обнаружения, как правило, изготавливаются и маскируются под цвет и форму банкомата.
Фрод и GSM
Варианты GSM фрода
1) При подписке на какой-то контент, за условную плату клиенту в договор включают очень высокий тариф на отписку, а после делают всё возможное, чтобы клиент решил отписаться.
2) Невозвраты по SIM-картам кредитных тарифных планов.
3) Оформление SIM-карт на потерянные документы с тем, чтобы полученные SIM-карты с роумингом использовать за границей. При этом счета за разговоры местный оператор отсылает оператору, выпустившему SIM-карту, с некоторой задержкой, а пока платит за разговоры самостоятельно.
4) Откровенный обман, когда звонящий говорит, что, переводя небольшую сумму на его телефон, вы помогаете своему
родственнику, попавшему в аварию или в другую затруднительную ситуацию.
5) Возможен вариант открытия платного сервиса, со способом оплаты посредством SMS сообщений. При этом технически возможно получение отрицательного баланса на SIM-карте с дебетным тарифным планом.
6) Превышение лимита количества отправляемых SMS-запросов, обусловленный техническими возможностями платформы ОСС, приводящий к получению абонентом заказываемых услуг без фактической их оплаты.
Международная ассоциация операторов сетей GSM выработала свою классификацию для фрод-преступлений:
Access Fraud — мошеннический доступ — несанкционированное использование услуг сотовой связи за счет мышленного или неумышленного вмешательства, манипулирования или перепрограммирования номеров сотовых аппаратов ESN(Electronic Serial Number) и/или MIN (Mobile Identification Number). Способ возможен на сетях без аутентификации.
Stolen Phone Froud — несанкционированное использование украденного или потерянного стового телефона. Способ работает пока владелец не известит компанию и та не заблокирует доступ с украденного телефона.
Subscription Fraud — указание неверных данных при заключении контракта, использование услуг в кредит с намерением не оплачивать их.
Договорно-правовой аспект
Договор эквайринга — юридический документ, в соответствии с которым торгово-сервисное предприятие обязано работать как согласно действующему законодательству, так и по правилам, установленным платежными системами и банком-эквайрером. Основные требования к этому договору определены в Правилах платежных систем (например,
специализированный раздел Visa International Operating Regulations), однако эквайреры вправе изменять как форму, так и содержание подобных договоров.
Подключение интернет-эквайринга:
— Интернет-магазин обращается к провайдеру услуг (система электронных платежей) – Ассист, ДеньгиOnline, и пр.
— Выбрав одного из этих провайдеров, интернет-магазин регистрируется на его сайте, т.е. есть заполняет регистрационную форму и указывает, что он намерен принимать к оплате пластиковые карты и в каком банке он будет обслуживаться из предложенного перечня банков, которые предлагают данную услугу.
— Заявка на подключение направляется провайдером услуг в банк.
— Банк обрабатывает данную заявку, связывается с интернет- магазином по контактной информации, указанной в ней.
— Интернет-магазин, проходит все стадии до подписания договора.
— В итоге интернет-магазин подписывает договор на интернет-эквайринг и начинает принимать к оплате пластиковые карты через интернет.
Технологии безопасности электронных интернет-платежей по
пластиковым картам.
SSL-протокол(Secure Socket Layer) Протокол 3D Secure
3-D Secure является XML-протоколом, который используется как дополнительный уровень безопасности для онлайн-кредитных и дебитных карт, двухфакторной аутентификации пользователя. Он был разработан Visa с целью улучшения безопасности Интернет-платежей и предложил клиентам услугу Verified by Visa (VbV). Услуги, основанные на данном протоколе также были приняты MasterCard, под названием MasterCard SecureCode (MCC), и JCB International, как J/Secure. 3-D Secure добавляет ещё один шаг аутентификации для онлайн-
платежей.
3-D Secure не следует путать с кодом CVV2, который напечатан на карте с обратной стороны.
3-D Secure является торговой маркой корпорации VISA.
Система 3х доменов:
Модель 3-D Secure реализована на основе 3х доменов, в которых происходит порождение и проверка транзакций:
Домен Эмитента, который включает в себя Держателя карты и Банк, выпускающий карты.
Домен Эквайера, который включает в себя банк-Эквайер и его клиентов (онлайновых торговцев).
Домен взаимодействия содержит элементы, которые делают возможным проведение транзакций между двумя другими домена. Он, главным образом, содержит сети и сервисы карточных ассоциаций.
Домены независимы в своих правах и являются важной частью процесса передачи информации в общей 3-D Secure-инфраструктуре. Для каждого домена определена собственная сфера ответственности в проведении
транзакций:
• В домене Эмитента банк-эмитент ответственен за аутентификацию покупателя и предоставление верной информации для проведения транзакции.
• В домене Эквайера онлайновый торговец ответственен за коммерческие отношения с покупателем, а также гарантию того, что покупатель был направлен в верный банк-эмитент для верификации. В этом же домене Эквайер несёт ответственность за согласование проведения транзакции через традиционные сети Visa или MasterCard.
• В домене взаимодействия платежная система Visa или MasterCard ответственна за сохранность информации по каждому эмитенту (банк держателя карты, интернет-адрес эмитента) и предоставление данной информации для вынесения решения в случае конфликтных ситуаций.
• Модель 3-D Secure предоставляет стандартный протокол взаимодействия между доменами для обмена и проверки транзакций. Она не вызывает необходимости изменений в отношениях между участниками одного домена:
• Торговец и Эквайер свободны в выборе любого способа проведения своих транзакций и в управлении отношениями в своих доменах.
• Эмитенты свободны в выборе любых предпочитаемых ими механизмов для аутентификации держателя карты.
В архитектуре 3-D Secure реализован набор специальных серверов для
обслуживания потока транзакций во время его жизненного цикла:

•В домене Эмитента Сервер Управления Доступом (Access Control Server или ACS) ответственен за управление процессами аутентификации между Покупателем и Эмитентом и гарантирует проведение платежных транзакций для Торговца.
•В домене Эквайера сервер Merchant Plug-In (или MPI) управляет потоком транзакций между инфраструктурами Visa/MasterCard, инфраструктурой держателей карты и платежной инфраструктурой, созданной Эквайером.
•В домене взаимодействия Сервер-Директорий (Directory) Visa/MasterCard ведёт информацию об участниках процесса. В этом же домене Сервер Истории Аутентификаций Visa/MasterCard (Authentication History Server или AHS) надёжно хранит информацию по всем транзакциям и гарантирует её доступность при возникновении конфликтных ситуаций.
•В доменах Эмитента и Эквайера Хостовые системы вовлечены в процесс выверки транзакций в бек-офисе банка для обеспечения клиринговых взаимозачетов между участниками с целью дальнейшей передачи денежных средств.
•В соответствии с протоколом 3-D Secure эмитенты теперь несут ответственность за аутентификацию владельцев карточек!
Упрощенно платеж по протоколу 3D Secure выглядит так:

— Покупатель, выбрав в интернет-магазине товар, нажимает кнопку «Оплатить».
— Браузер покупателя перенаправляется на страничку платежной системы, где покупатель вводит реквизиты карты.
— Сервер платежной системы проверяет, учавствует ли данная карта в платежах по протоколу 3D Secure, если участвует то браузер покупателя перенаправляется на сайт банка-эмитента данной пластиковой карты. Если не участвует в 3D Secure, то платеж может проходить по протоколу MIA SET.
— Допустим, что карта участвует в 3D Secure. Покупатель, попав на сайт банка-эмитента, проходит аутентификацию, способ аутентификации определяет банк-эмитент.
— В случае успешной аутентификации банк-эмитент возвращает платежной системе, подписанное подписью сообщение, что банк-эмитент верит данному покупателю и не возражает против операции по данной пластиковой карте.
— Далее платеж проходит как MIA SET.
SET
Стандарт SET (Secure Electronic Transaction) — технология, разработанная платежными системами Visa и MasterCard для обеспечения безопасных платежей с помощью пластиковых карт через открытую сеть.
Идентификация сторон при расчетах в сети производится путем обмена цифровыми сертификатами, удостоверяющими право участников сделки принимать или использовать пластиковые карты. SET-сертификат магазина содержит идентификационные параметры торговой точки. SET-сертификат владельца карты несет в зашифрованном виде информацию об основных параметрах карты. Проведение оплаты с использованием SET-сертификата не требует от клиента ввода параметров его карты и не предусматривает получение интернет-магазином данной конфиденциальной информации.
SET — Secure Electronic Transaction — проведение операции в сети, при которой покупатель и продавец могут однозначно идентифицировать друг друга при совершении сделки, обменявшись цифровыми сертификатами. Это позволяет обеим сторонам удостовериться в правомерности осуществления операции другой стороной.
SET — сертификат on-line магазина — набор данных в электронном формате, содержащий параметры Предприятия (название, и др.) и копию открытого ключа Предприятия, который сертифицирован в Центре Сертификации Банка в соответствии со стандартной процедурой (стандарт SET). Секретный ключ Предприятия хранится на платежном сервере. Сертификат предназначен для идентификации Предприятия в системе платежей, а также для осуществления возможности проводить платежи по картам в полном или усеченном стандарте в SET, в зависимости от типа Сертификата.
SET — сертификат держателя карты — набор данных в электронном формате, содержащий параметры карты (номер карты, Ф.И.О. держателя и др.) и копию открытого ключа держателя, который сертифицирован уполномоченным Центром Сертификации в соответствии с технологией SET.
MIA SET
Система также позволяет осуществлять платежи с помощью пластиковых карт и без использования SET — сертификатов клиента, в случае, если клиенты такими сертификатами не располагают. В этом случае используется технология MIA SET (Merchant Initiated Authorization). Для обеспечения безопасности платежей по технологии MIA SET, платежная система RBS предоставляет мощные возможности отсечения мошеннических транзакций. Подсистема борьбы с мошенническими операциями дает возможность клиентам — торгово-сервисным предприятиям — самостоятельно настраивать ее под собственные нужды, выбирая соответствующие антифродовые критерии.
Таким образом, в случае платежа по протоколу 3D Secure интернет- магазин не несет ответственности за мошенническое использование пластиковой карты. Решение о том, что является ли данная операция по пластиковой карте законной или нет, принимает банк-эмитент. В итоге в результате столь серьезных изменений в области безопасности онлайновых платежей и ситуации с карточным фродом в целом ведущие платежные системы с трудом находят общий язык с эмитентами, эквайрерами, виртуальными акцептантами и процессорами транзакций
при попытках заставить их устанавливать дорогостоящие системы и решения по проверке аутентичности держателей.
В данной статье я не считаю нужным описывать сертификацию и стандарты PCI DSS, о них подробно написано здесь: http://habrahabr.ru/post/130652/
Дополнительно можно почитать:
http://habrahabr.ru/post/30321/
http://habrahabr.ru/post/49254/ — Обзор эквайеров Украины
http://habrahabr.ru/post/124668/ — Подключение эквайринга
— PCI DSS
Информационные сервисы
В банках используется гигантское количество различных
информационных сервисов
, выполняющих простые, рутинные функции, например, загрузка справочников
, публикация курсов валют на официальном сайте и т.д.
Инфраструктура обеспечения платежного взаимодействия с банком россии

Рис. 2.
IT-инфраструктуру платежного взаимодействия банка с Банком России будем рассматривать на примере исполнения платежа, отправляемого в адрес клиента другого банка.
Как мы помним из первой части, вначале клиент должен передать в банк платежное поручение. Сделать это он может двумя способами:
- Явиться лично в отделение банка и передать заверенное платежное распоряжение на бумажном носителе.
- Направить платежное распоряжение через систему ДБО ИКБ.
Тут важно отметить, что системы
ДБО ИКБ
— это лишь системы, обеспечивающие юридически значимый электронный документооборот между клиентом и банком, самостоятельно они платежи не проводят. Именно поэтому, когда клиент открывает расчетный счет в банке, он обычно заключает два договора. Первый – договор обслуживания банковского счета, второй – договор на осуществление электронного документооборота с помощью системы
ДБО ИКБ
. Если второй договор заключен не будет, то клиент все равно сможет пользоваться своим счетом, но только при личном визите в отделение банка.
Если клиент передал платежное поручение на бумажном носителе, то работник банка на его основании делает электронное платежное поручение в АБС. Если распоряжение было подано через ДБО ИКБ, то через модуль интеграции оно попадает в АБС автоматически.
Обычно для заверения электронных документов клиентов — юридических лиц в ДБО ИКБ применяют криптографическую электронную подпись, а для документов клиентов — физических лиц коды SMS-подтверждений. С юридической точки зрения для заверения электронных документов в обоих случаях банки обычно применяют правовой режим аналога собственноручной подписи (АСП).
Попав в АБС, платежное поручение в соответствии с внутренними регламентами банка проходит контроль и передается для исполнения в платежную систему Банка России.
Инфраструктурные информационные системы
Помимо
АБС прикладных информационных систем
, автоматизирующих основные бизнес-процессы, в банках также присутствует приличное количество вспомогательных
инфраструктурных информационных систем
. Примерами подобных систем могу быть:
Клиентские части сторонних информационных систем
Отдельного упоминания стоят клиентские части внешних по отношению к банку
информационных систем
. В качестве примеров приведу:
Модули интеграции
Под модулем интеграции будем понимать виртуальный элемент IT-инфраструктуры, реализующий интеграцию других элементов IT-инфраструктуры.
Данный элемент мы назвали виртуальным, потому что его функционал может быть реализован, как в виде отдельного специализированного элемента ИТ-инфраструктуры (например, информационного сервиса), так и в виде компонентов интегрируемых информационных систем.
Перенос электронной подписи из арм кбр в абс
Банк России планирует перейти на новую технологическую схему обработки платежей, при которой электронные сообщения будут подписываться не в
АРМ КБР
, как было ранее, а в
АБС
(точнее в модуле интеграции
АБС — АРМ КБР
Для реализации данного подхода выпущена новая версия АРМ КБР, которая стала называться АРМ КБР-Н (новая). Все основные изменения можно увидеть, если сравнить схемы информационных потоков, проходящих через АРМ КБР старой и новой версии.
Рассмотрим схему информационных потоков в классическом АРМ КБР. Источник схемы – официальная документация на АРМ КБР «АВТОМАТИЗИРОВАННОЕ РАБОЧЕЕ МЕСТО КЛИЕНТА БАНКА РОССИИ. Руководство программиста. ЦБРФ.61209-04 33 01».

Рис. 3.
Примечания.
Теперь взглянем на аналогичную схему для нового АРМ КБР-Н. Источник «АВТОМАТИЗИРОВАННОЕ РАБОЧЕЕ МЕСТО КЛИЕНТА БАНКА РОССИИ НОВОЕ. Руководство программиста. ЦБРФ.61289-01 33 01»

Рис. 4.
С точки зрения криптографии АРМ КБР-Н отвечает за шифрование / расшифрование электронных сообщений, а также за проверку электронных подписей на них. Формирование электронных подписей перенесено в модуль интеграции АБС.
Логично предположить, что данный модуль также должен будет проверять подписи под сообщениями, полученными из АРМ КБР-Н. С технической точки зрения это не является обязательным, но с точки зрения обеспечения безопасности имеет критическое значение, поскольку обеспечивает целостность сообщений, передаваемых между АБС и АРМ КБР-Н.
Помимо файлового интерфейса взаимодействия между АБС, АРМ КБР-Н и УТА добавлен интерфейс IBM WebSphere MQ, что позволяет строить сервис-ориентированную ИТ-инфраструктуру банка и решить проблему старой схемы с организацией одновременной работы нескольких операторов, ответственных за отправку платежей.
Прикладные информационные системы
Несмотря на то что
АБС
автоматизирует довольно большое количество задач, она не покрывает все нужды банка. Есть задачи, которые
АБС
не делает вообще или делает не так, как хочет того банк. Поэтому к
АБС
подключаются (интегрируются) другие информационные системы, автоматизирующие отдельные бизнес-процессы. В дальнейшем подобные информационные системы будем называть —
прикладными информационными системами
Примерами прикладных информационных систем могут быть:
- системы дистанционного банковского обслуживания Интернет Клиент-Банк (ДБО ИКБ, например, iBank2, BS-Client, InterBank),
- процессинг платежных карт (например, TranzWare, SmartVista, Way4),
- системы автоматизации контакт-центров (например, Avaya Call Center, Cisco Unified Contact Center),
- системы автоматического скоринга заемщиков (например, FICO),
- и др.
В зависимости от размеров банка и оказываемых им услуг количество
прикладных информационных систем
может измеряться количеством от единиц до сотен.
Пример ит-инфраструктуры банка
можно увидеть фрагмент типовой информационной инфраструктуры банка, содержащий рассмотренные выше типы элементов.
Программа безопасности
Форма оценки соответствия PCI DSS зависит от уровня ТСП. Уровень присваивается
каждому ТСП, исходя из того, сколько транзакций по картам «Мир» в год обрабатывает ТСП и в какой
среде (торговый эквайринг или электронная коммерция).
ТСП следует обращаться в обслуживающий его Банк-эквайрер по всем вопросам, связанным с
определением уровня ТСП и оценкой соответствия PCI DSS.
Все Банки-эквайреры в ПС «Мир» отвечают за соблюдение подключенными ТСП требований по
безопасности ПС «Мир». Это значит, что независимо от того, в каком Банке-эквайрере
обслуживается ТСП, от него будут требовать соблюдения требований ПС «Мир».
Невыполнение положений Программы безопасности является нарушением Банком-эквайрером
требований Правил и Стандартов ПС «Мир». За такие нарушения Оператор АО (НСПК) может
взыскать штраф в соответствии с Правилами ПС «Мир». Обращаем внимание, что взаимодействие
Банка-эквайрера и ТСП регулируется договорами, заключенными между ними.
Банки-эквайреры отчитываются перед ПС «Мир» о соответствии своих ТСП требованиям PCI DSS, так
ПС «Мир» контролирует соблюдение ТСП требований Программы безопасности. Для ТСП с торговым
эквайрингом действует Специальная программа. Она позволяет ТСП не проводить ежегодную
оценку соответствия по PCI DSS.
Работа без госзакупок
Вы получаете средства напрямую от потребителя. Не надо участвовать в торгах – достаточно сделать самое выгодное и качественное предложение конечному потребителю.
Система электронного сертификата открыта для подключения банков и продавцов технических средств реабилитации
Публикации в СМИ
28 сентября 2021, 14:06
Минтруд России совместно с Минцифры России, Федеральным казначейством, Национальной системой платежных карт (оператор платежной системы «Мир») и Фондом социального страхования сообщает о технологическом запуске системы электронных сертификатов. С сегодняшнего дня продавцы технических средств реабилитации (ТСР) могут подключаться к специально созданной информационной системе «Электронный сертификат» (ГИС ЭС), если банки, обеспечивающие эквайринг платежей этой торговой точки, поддерживают возможность работы с электронным сертификатом.
Электронный сертификат – это новый платежный инструмент, который представляет собой реестровую запись, информация о выпуске которой регистрируется в Единой государственной информационной системе социального обеспечения. Электронный сертификат привязывается к банковской карте платежной системы «Мир», которой уже пользуется гражданин.
Обладатель электронного сертификата сможет использовать его для оплаты товаров из той категории, на которую был выдан электронный сертификат, в точках продажи, поддерживающих работу с электронным сертификатом. Средства сертификата поступят продавцу напрямую через банк-эквайрер как при обычной покупке банковской картой, а для пользователя процесс оплаты будет похож на простую оплату покупки картой.
«С сегодняшнего дня появляется новый платежный инструмент. В короткие сроки, прошедшие с момента принятия закона, выполнены необходимые технологические мероприятия по развитию Единой государственной информационной системы социального обеспечения, которая интегрирована с информационными системами Федерального казначейства, Национальной системы платежных карт, Фонда социального страхования. Все технологические условия для того, чтобы коммерческий сектор мог воспользоваться новым удобным сервисом и обеспечить своих потребителей возможностью получать господдержку при приобретении технических средств реабилитации – созданы», – отметил заместитель Министра труда и социальной защиты Российской Федерации Алексей Скляр.
По мере доработки программного обеспечения банков для работы с государственной информационной системой «Электронный сертификат», торговые точки, выбравшие эти банки в качестве эквайрера, смогут принимать от граждан электронные сертификаты для оплаты технических средств реабилитации.
«Технологии Национальной системы платежных карт позволяют быстро адаптировать сервисы компании под реализацию масштабных государственных проектов, сделать более эффективным взаимодействие между различными ведомствами и оптимизировать процесс адресного зачисления бюджетных средств. Благодаря совместной проработке всеми участниками проекта технического обеспечения электронного сертификата его использование будет для граждан не сложнее, чем совершение привычного платежа по карте «Мир». Как и другие платформенные сервисы НСПК, данную технологическую разработку можно будет в дальнейшем оперативно применить для эффективного решения новых важных задач, направленных на оказание гражданам необходимой помощи», – прокомментировал генеральный директор Национальной системы платежных карт Владимир Комлев.
Электронный сертификат позволит гражданину самостоятельно определять, на какой именно товар из той категории, которая рекомендована в индивидуальной программе реабилитации и абилитации, направить средства. Производителям и поставщикам ТСР внедрение электронного сертификата позволит участвовать в государственных программах обеспечения граждан с инвалидностью средствами реабилитации без участия в конкурсных процедурах. Определять поставщика конкретного изделия будет сам гражданин, направляя этому продавцу закрепленные за его электронным сертификатом средства.
Обладатель электронного сертификата сможет самостоятельно выбрать ТСР из каталога (https://ktsr.fss.ru/), сформированного Фондом социального страхования. В этом каталоге представлены ТСР, которые доступны для приобретения с использованием ЭС, с фотографиями, описанием и перечнем точек продаж. Каталог будет пополняться по мере подключения торговых точек.
Оформить электронный сертификат можно будет при личном визите в отделения ФСС и МФЦ, а также дистанционно через портал Госуслуг.
«Технологически схема взаимодействия госорганов по электронному сертификату является значимым прецедентом для цифрового ландшафта нашей страны. Благодаря слаженной работе несколько ведомств (Минтруд, ПФР, ФСС, Казначейство, Национальная система платежных карт, Минцифры, банки) удалось реализовать уникальный комплексный сервис. Как цифровое ведомство, мы придерживаемся принципа «Просто снаружи, сложно внутри». Данный сервис как нельзя лучше демонстрирует этот принцип. Мы рассчитываем, что все крупные банки проведут необходимые доработки программного обеспечения и станут участниками этого проекта уже в ближайшее время», – отметил замглавы Минцифры России Дмитрий Огуряев.
Скад сигнатура
СКАД Сигнатура
, это СКЗИ, разработанное компанией
по заказу Банка России и предназначенное для защиты информации в платежной системе Банка России. Данного СКЗИ нет в открытом доступе (кроме
, размещенной на сайте ЦБ РФ), и оно распространяется Банком России только среди участников его платежной системы. К отличительным особенностям данного СКЗИ можно отнести:
- Данное СКЗИ, в отличии от других распространенных в деловых кругах России СКЗИ (например, как Крипто-ПРО CSP, VIPNET CSP и др.), реализует собственную, изолированную от операционной системы инфраструктуру открытых ключей (PKI). Это проявляется в том, что справочник открытых ключей, содержащий сертификаты, список доверенных сертификатов, список отозванных сертификатов, и т. д. криптографически защищен на закрытом ключе пользователя, что не позволяет злоумышленнику внести в него изменения, например, установить доверенный сертификат без ведома пользователя.
Примечание. СКЗИ Верба-OW реализует схожую ключевую модель. - Следующая особенность вытекает из предыдущей. В СКЗИ для того, чтобы сделать рабочие ключи, необходимо сначала создать справочник сертификатов с помощью специальных ключей регистрации. По истечении срока действия рабочих ключей генерируются новые, но для того, чтобы их сгенерировать, нужно обладать действующими предыдущими рабочими ключами. Ключи создаются по децентрализованной схеме с участием Банка России в качестве Центра Сертификации.
- СКЗИ поддерживает работу с функционально-ключевыми носителями (vdToken), выполняющими функции электронной подписи и шифрования у себя на борту, без передачи закрытых ключей в память ЭВМ.
- Криптографические ключи, используемые для взаимодействия с платежной системой Банка России, бывают двух видов:
Технические средства взаимодействия с платежной системой банка россии
Технические средства (программное обеспечение), используемые для взаимодействия с платежной системой Банка России могут варьироваться в зависимости от территориального учреждения Банка России, обслуживающего корр. счет банка.
Для банков, обслуживаемых в Московском регионе, применяется следующее ПО:
Типовые способы интеграции информационных систем
Для интеграции
информационных систем
обычно применяются следующие механизмы:
- Интеграция через API (например, Web-сервисы).
- Интеграция через СУБД:
- Файловый обмен:
- Реализация сервис ориентированной архитектуры (SoA).
Заключение
Мы рассмотрели внутреннее устройство платежной ИТ-инфраструктуры банка. В следующих частях рассмотрим угрозы информационной безопасности, которые здесь возникают.
