Центр авторизации

ФРОНТ-ОФИС

По сравнению с аналогичными разработками конкурентов система автоматизации онлайнового процессингового центра имеет ряд неоспоримых преимуществ, делающих ее уникальным программным решением, наилучшим образом отвечающим запросам современного, динамично развивающегося банка:

• В системе реализованы интерфейсы со всеми отечественными и зарубежными платежными системами, представленными на территории России;
• В системе реализованы интерфейсы со всеми важнейшими онлайновыми процессинговыми системами, используемыми банками, и процессинговыми центрами на территории России (Base24, MCI, SmartVista, OpenWay, Compas+);
• В состав подсистемы управления банкоматами кроме классического хоста входит редактор/отладчик сценария. Редактор сценария позволяет с помощью удобного графического интерфейса создавать или модифицировать сценарий NDC, а отладчик сценария позволяет отлаживать созданный/модифицированный сценарий банкомата без банкомата, банкоматного хоста и системы авторизации;
• Подсистема управления терминалами максимально простым способом подключает к процессинговому центру терминальное оборудование и рабочие места сторонних производителей для выполнения широчайшего спектра дебетовых, кредитовых и информационных операций с использованием пластиковых карт;
• Подсистема мониторинга помогает гибко настраивать контроль именно тех, происходящих на терминалах событий, которые представляют интерес для контроля;
• SMS–сервис позволяет моментально информировать держателей карт об операциях, совершенных по их картам. Множество операций, по которым происходит SMS-информирование, определяется самим держателем карты;
• Модуль удаленного доступа к системе обслуживания физических лиц позволяет выполнять на терминалах банковские операции широчайшего спектра (открытие счетов, закрытие счетов, пополнение счетов, списание со счетов, погашение задолженности по кредиту, просмотр банковской выписки и т.д.). Таким образом, система становится составной частью Персонального Банковского Сервиса (ПБС).

На рисунке ниже представлены основные компоненты системы. 



ФУНКЦИОНАЛЬНЫЕ СОСТАВЛЯЮЩИЕ СИСТЕМЫ

• Ядро системы авторизации;
• Подсистема управления банкоматами;
• Подсистема управления электронными терминалами;
• Подсистема мониторинга электронных терминалов;
• Модуль голосовой авторизации;
• Модуль SMS-сервиса;
• Система безопасности:
• Сервер безопасности;
• АРМ администратора системы безопасности.
• Сервисно-справочный модуль;
• Модуль пакетной авторизации операций;
• Внешние интерфейсы системы:
• Шлюзы для взаимодействия с платежными системами;
• Интерфейс для взаимодействия в рамках локальной платежной системы;
• Интерфейсы с авторизационными комплексами сторонних разработчиков;
• Интерфейс с бэк-офисными системами обслуживаемых банков.
• Модуль удаленного доступа к системе обслуживания физических лиц (см. ПБС).

Ядро системы авторизации

• формирование авторизационных сообщений;
• маршрутизация авторизационных сообщений;
• обработка авторизационных сообщений – выполнение контрольных проверок, необходимых для эквайера, эмитента и расчетно-авторизационного центра;
• фиксирование результата завершения транзакции в базе данных.
  

• Интерфейс с подсистемами управления терминалами и голосовой авторизации;
• Интерфейс с сетями платежных систем;
• Интерфейс, обеспечивающий взаимодействие с системой безопасности;
• SOAP-взаимодействие с системой.

Интерфейс с подсистемами управления терминалами и подсистемой голосовой авторизации построен на основе стандарта ISO-8583 и позволяет подключать к ядру различные подсистемы управления терминалами без изменения базовых функций ядра системы авторизации.

Интерфейс с сетями платежных систем и внешними системами авторизации реализован в соответствии со стандартом ISO-8583. Сообщения, передаваемые в рамках этого интерфейса, содержат полный набор параметров, необходимых для реализации взаимодействия с внешними системами с использованием протоколов платежных систем: VISA BaseI/SMS, EPS-Net v.5 и других протоколов сторонних процессинговых систем: OpenWay, Base24, SmartVista и др.

Интерфейс, обеспечивающий взаимодействие с системой безопасности, позволяет реализовывать обращения к базовым функциям обеспечения безопасности (трансляция PIN-блока, верификация PIN-блока, верификация MAC’а, формирование MAC’а, шифрование/дешифрование сообщений, генерация и распределение криптографических ключей). Интерфейс поддерживает основные криптографические алгоритмы и соответствует требованиям международных платежных систем по безопасности.

SOAP-взаимодействие с системой 3card-F, реализовано на основе XML протокола, расширяет возможности ядра системы авторизации, по обработке авторизационных сообщений, SMS информированию, изменению лимитов карты и др.

На рисунке представлено ядро системы авторизации 3card-F

В состав ядра входят следующие компоненты:Обработчик транзакций эквайера является компонентой ядра системы авторизации, предназначенной для использования в авторизационном процессинговом центре, реализующем функции эквайера. Обработчик транзакций эквайера обеспечивает выполнение следующих функций:

• Прием сообщений-запросов о совершаемых карточных операциях от подсистем управления терминалами. В целях защиты целостности информации и противодействия возможному мошенничеству сообщения, передаваемые между терминалами и центром авторизации, защищаются контрольным кодом (MAC);
  
• Контрольные проверки по условиям, заданным для эквайеров, терминалов, филиалов и фирм Контрольные проверки по таблице БИНов;
  
• Формирование авторизационных сообщений в формате ISO-8583 для дальнейшей обработки в системе;
  
• Формирование отказных сообщений для систем управления терминалами;
  
• Фиксирование в базе данных результатов обработки сообщений;
  
• Маршрутизация (после получения ответа со стороны эмитента) ответного сообщения подсистемам управления терминалами, от которых получено сообщение–запрос по карточной операции.
  

• Проверка параметров безопасности транзакции (PIN, коды CVC\CVV) Контрольные проверки по условиям, заданным для карт. Например, контролируется лимит авторизаций держателя карт (Open-To-Buy Limit), лимиты активности карты по сумме, по типу операции и по частоте использования, коды CVC\CVV и прочие параметры, используемые для контроля платежеспособности держателя, ограничения использования карты и противодействия возможному мошенничеству;
  
• Фиксирование в базе данных результатов обработки транзакции со стороны эмитента и формирование ответного сообщения.
  

• Маршрутизация авторизационных сообщений между центрами авторизаций эквайеров и эмитентов;
  
• Контрольные проверки по условиям, заданным для обслуживаемых эквайеров и эмитентов (в том числе контроль лимитов авторизации, установленных для эмитентов), формирование отказного ответного сообщения при неудовлетворительном результате проверок;
  
• Определение некоторых параметров сообщений-запросов авторизации перед направлением этих сообщений эмитенту (например, определение валюты карты и конвертация суммы операции в валюту карты);
  
• Фиксирование в базе данных результатов завершения обработки транзакции.
  

• Анализ содержания сообщений, полученных от внутренних модулей ядра системы авторизации, и определение направления дальнейшей его маршрутизации;
  
• Дальнейшая маршрутизация сообщений, полученных от внешних систем посредством взаимодействия с внешним маршрутизатором;
  
• Трансляция PIN-блока, передаваемого в составе сообщения (если это требуется).
  

• Анализ содержания сообщений, полученных из внешних систем, и передача их во внутренний маршрутизатор;
  
• Взаимодействие с системой безопасности он-лайнового процессингового центра.
  

Эмитентский и эквайерский пакеты. В системе 3card-F реализовано понятие «продукт», однако в базовой настройке указанный объект обладает ограниченными возможностями по настройке. Существенно расширить их позволяют новые программные функционалы системы - «эмитентский» и «эквайерский» пакеты, позволяющие установить дополнительные ограничения и комиссии на совершаемые по банковским картам операции.

• Задавать тип поддерживаемой процессинговым центром операции, конфигурировать тип и принадлежность устройства (по коду эквайера). Задание этих параметров позволяет получить уникальный ключ лимита активности;
  
• Задавать размер комиссии для финансовых операций, устанавливать верхние и нижние пределы для суммы комиссии;
  
• Устанавливать ограничение на количество совершаемых держателем карты операций за период с возможностью настройки длительности самого периода;
  
• Устанавливать ограничение на общую сумму операций, которые держатель карты выполняет за период с возможностью настройки длительности самого периода.
  

Подсистема управления банкоматами

Подсистема управления терминалами

• транзакции оплаты товаров (услуг);
  
• транзакции коммунальных платежей;
  
• транзакции выдачи наличных;
  
• транзакции запросов остатка;
  
• транзакции выписки из истории операций;
  
• транзакции банковского сервиса;
  
• транзакции внесения наличных;
  
• транзакции отмены операций выдачи наличных и операций оплаты товаров (услуг);
  
• транзакции разгрузки терминалов (Data Capture);
  
• транзакции мониторинга и управления, обеспечивающие получения информации о техническом и финансовом состоянии терминалов, а также обеспечивающих управление терминальными устройствами;
  
• технические транзакции, обеспечивающие загрузку на терминалы разнообразной информации.
  

Подсистема мониторинга электронных терминалов

1. Подсистема мониторинга электронных терминалов включает в себя следующие компоненты:

Процессор запросов - модуль, обеспечивающий обмен информацией между системами управления терминалами, предоставляющими первичную информацию об их техническом и финансовом состоянии, и другими модулями мониторинга: базой данных и удаленными станциями мониторинга.

Процессор запросов выполняет следующие функции:

• обновляет информацию в базе данных при получении соответствующих сообщений от терминальных хостов;
• осуществляет периодический просмотр содержимого базы данных на наличие управляющих команд для банкоматов и, в случае их наличия, посылает команды соответствующим терминальным хостам;
• взаимодействует с удаленными станциями мониторинга (принимает от удаленных станций команды управления терминалами, а также направляет им информацию о состоянии терминалов);
• формирует почтовые файлы с информацией о состоянии терминалов (работоспособность различных устройств терминала, наличие купюр в кассетах банкомата, наличие бумажной ленты в чековом принтере и т.п.) и посылает их по электронной почте в службы технической поддержки банков-эквайеров.

2. Модуль мониторинга - интерфейсный модуль, предоставляющий оператору следующие возможности:

• регистрация в базе данных объектов мониторинга;
• визуализация текущего состояния терминалов и каналов связи (по оперативной информации, хранящейся в базе данных);
• управление терминалами;
• регистрация операционистов, распределение прав доступа;
• формирование отчетов о состоянии терминалов.

3. Удаленная станция мониторинга - интерфейсный модуль, предназначенный для организации удаленного рабочего места оператора за пределами процессингового центра. Удаленная станция мониторинга позволяет контролировать состояние терминалов и управлять ими, предоставляя ограниченные по сравнению с модулем мониторинга возможности.

Модуль голосовой авторизации

• формирование запроса авторизации посредством ручного ввода операционистом параметров карточной операции, которые передаются из пункта обслуживания банковских карт устно по телефону;
  
• обработку ответов на авторизационные запросы по карточным операциям и отображение результатов авторизации для устной передачи в пункт обслуживания банковских карт;
  
• отмена проведенных ранее авторизаций;
  
• ведение и возможность просмотра протокола авторизаций, обработанных на станции в текущем сеансе работы;
  
• получение справочной информации из базы данных о зарегистрированных пунктах обслуживания, фирмах, филиалах и терминалах, и их параметрах.
  

Модуль SMS-сервиса

Система безопасности

Система безопасности представляет собой программно-аппаратный комплекс, предназначенный для выполнения функций, связанных с генерацией криптографических ключей, защищенным хранением ключей, трансляцией ключей, генерацией параметров, используемых при персонализации карт (PIN, PVV, CVC/CVV), трансляцией PIN-блоков, верификацией PIN-блоков и других функций.

Система безопасности включает в себя следующие основные компоненты:

• Сервер безопасности;
  
• Рабочее место системы безопасности.
  

Все ключи, используемые в криптографических процедурах, хранятся в базе данных ключей в зашифрованном виде. Шифрование производится с помощью мастер-ключей. Мастер-ключи, хранятся внутри аппаратного модуля безопасности.

Сервер безопасности обеспечивает работу со многими существующими сегодня аппаратными модулями безопасности.

Рабочее место (АРМ) системы безопасности обеспечивает диалоговый интерфейс пользователя (офицера безопасности) с системой безопасности для выполнения криптографических процедур – генерации ключей, обмена ключами.

Сервисно-справочный модуль

Сервисный модуль системы авторизации предназначен для регистрации параметров, необходимых для работы системы авторизации, получения разнообразной справочной информации, инициирования технологических процедур, предусмотренных в рамках системы авторизации.

Состав функций сервисного модуля зависит от тех функций, которые должна выполнять система авторизации в процессинговом центре.

В процессинговом центре эквайера сервисный модуль обеспечивает:

• Регистрацию обслуживаемых эквайеров, их фирм, филиалов и терминалов;
• Регистрацию ограничений, устанавливаемых для отдельных эквайеров, фирм, филиалов, и терминалов;
• Регистрацию списка блокированных карт и стоп-листа;
• Выполнение процедуры выгрузки в систему учета (бэк-офис эквайера) уведомлений об авторизованных операциях (авторизационные и финансовые параметры операции);
• Формирование справок по обработанным транзакциям с использованием различных фильтров поиска;
• Формирование различных отчетов по обработанным транзакциям;
• Запуск процедуры архивации и чистки базы данных подсистемы авторизации.

• Регистрацию обслуживаемых эмитентов;
• Выполнение процедуры выгрузки в систему учета (бэк-офис эмитента) уведомлений о предоставленных положительных и отрицательных ответах на авторизационные запросы;
• Обработку поступивших из бэк-офиса эмитента файлов, содержащих параметры карт и условия авторизации операций с их использованием;
• Выполнение оперативной блокировки/разблокировки карт по заявкам держателей карт или обслуживаемых банков-эмитентов в случаях утери или кражи карт;
• Формирование справок по обработанным транзакциям с использованием различных фильтров поиска;
• Формирование различных отчетов по обработанным транзакциям.

В процессинговом центре расчетно-авторизационного центра сервисный модуль обеспечивает:

• Выполнение выгрузки в систему учета (бэк-офис) уведомлений об авторизованных карточных операциях (информация используется для расчета в бэк-офисной системе лимитов авторизации, устанавливаемых для эмитентов и эквайеров);
• Выполнение установки лимитов авторизации для эмитентов и эквайеров. Лимиты устанавливаются на основе данных, переданных из системы бэк-офиса;
• Формирование справок по обработанным транзакциям с использованием различных фильтров поиска.

Модуль пакетной авторизации операций

Модуль пакетной авторизации операций предназначен для обеспечения авторизации операций оплаты товаров/услуг и операций коммунального платежа, осуществляемых торгово-сервисным предприятием или банком-эквайером без присутствия держателя и его карты. В подобных ситуациях торгово-сервисное предприятие (фирма) или банк осуществляют операцию на основе разового или постоянно действующего поручения клиента на списание средств с его карты.

Торгово-сервисное предприятие или банк-эквайер формирует специальный файл-журнал, который может включать несколько пакетов для отдельных получателей платежей (исходный журнал с записями по операциям), необходимый для проведения авторизации операций. Банк-эквайер, обслуживающий торгово-сервисное предприятие, с помощью модуля пакетной авторизации операций на основании подготовленного исходного файла-журнала производит авторизацию каждой операции, содержащейся в журнале. В момент авторизации происходит выяснение наличия средств на карте клиента и блокирование суммы на карточном счете клиента. Данные по успешно авторизованным операциям заносятся в журнал финансовых транзакций, который направляется на обработку в бэк-офис.

Операции, не прошедшие авторизацию, делятся на две группы (в зависимости от полученного кода отказа):

• в случае отсутствия средств на карте банк-эквайер готовит возвратный реестр для передачи в торгово-сервисное предприятие для последующего разбирательства с клиентом;
• в случае если авторизацию невозможно было провести (например, не было связи с эмитентом, произошел системный сбой и т.д.), то информация о данных операциях через некоторое время будет отправлена на повторную обработку.

Для взаимодействия c центром авторизации в модуле пакетной авторизации операций предусмотрено три вида обмена:

1. Передача данных через разделяемую память
2. Передача данных через файлы
3. Передача данных по TCP/IP.

Передача данных через разделяемую память - наиболее эффективный и защищенный канал обмена. Это максимально простой в использовании канал, имеющий ограничение на размещение модулей: они должны выполняться на одном компьютере.

Передача данных через файлы позволяет обмениваться данными между модулями на одном компьютере и в рамках сети через разделяемые диски. Такой тип обмена наименее защищен и имеет много ограничений (скорость доступа к диску, размер свободного места на диске и т.д.).

Передача данных по TCP/IP позволяет с высокой скоростью обмениваться данными модулям, находящимся как на одном компьютере, так и в рамках сети. Данный канал обмена обеспечивает достаточно высокую степень защиты данных.

ВНЕШНИЕ ИНТЕРФЕЙСЫ СИСТЕМЫ

Интерфейсы с сетями платежных систем

Интерфейсы с сетями платежных систем обеспечивают преобразование между стандартизированным протоколом обмена ядра системы авторизации и протоколами, принятыми в сетях онлайнового обмена конкретных платежных систем. Интерфейс с каждой такой сетью платежной системы реализован в виде отдельного шлюза. В состав системы авторизации входят следующие шлюзы:

• Шлюз EPSN-Gate – шлюз с сетью платежной системы MasterCard;
• Шлюз VISA-Gate – шлюз с сетью платежной системы VISA;
• Шлюз DC-Gate – шлюз с сетью платежной системы Diners Club;
• Шлюз UNION-Gate – шлюз с сетью платежной системы Юнион Кард;
• Шлюз STB-Gate – шлюз с сетью платежной системы СТБ-Кард.

Шлюз EPSN-Gate обеспечивает подключение к сети платежной системы MasterCard и поддерживает требования протокола обмена как для хоста эквайера, так и для хоста эмитента.

Подключение может осуществляться с использованием коммуникационных протоколов X.25 или IP по одной или нескольким логическим сессиям. При этом работа в рамках каждой из сессий может включать обработку как отдельно трафиков эквайера или эмитента, так и обработку смешанного трафика.

Кроме авторизационных сообщений, используемых в ходе авторизационного процесса, шлюз позволяет осуществлять работу с электронным стоп-листом Europay при помощи сообщений 0304/0314. Поддерживается полный спектр данных сообщений:

• постановка карты в стоп-лист;
• изменение состояния карты в стоп-листе;
• удаление карты из стоп-листа;
• запрос состояния карты, присутствующей в стоп-листе.

Шлюз осуществляет контроль за наличием физического соединения с EM-модулем и, при разрыве коммуникационного соединения, осуществляет его автоматическую переустановку и возобновление всех логических сессий.

Шлюз VISA-Gate обеспечивает подключение к сети платежной системы VISA и поддерживает требования обмена с сетью как в части хоста э