Процессинговая система что это
Банковский процессинговый центр
В классическом определении процессинговый центр – это юридическое лицо, которое обеспечивает технологическое и информационное обеспечение между участниками банковской системы государства. Иными словами, это структура по обработке платежей.
Российские кредитные организации, как правило, создают специальное подразделение, обрабатывающее платежи и денежные переводы клиентов, т.е. имеют собственные процессинговый центры.
Процессинг в рамках платёжных систем
Для того, чтобы кредитными картами банка можно было оплачивать услуги в любой точке страны и мира, деятельность внутренних процессинговый центров должна соответствовать правилам российских и международных платёжных систем. Наиболее известные процессинговые системы общемирового масштаба — VISA и MasterCard. Не являясь банками, они совершают подавляющее число расчётов по всему миру. Таким образом, создаётся единое международное финансовое пространство.
Популярные процессинговые центры
Процессингом занимаются не только банки, но и специализированные компании, например, PayOnline, Platron, Robokassa и другие. «Чистый процессинг» более выгоден, так как подразумевает для таких компаний одновременное сотрудничество сразу с несколькими банками и возможность вовлечения в денежный оборот большего количества субъектов отношений и, соответственно, больших денежных сумм. Процессинговые центры такого типа не являются владельцами денежных сумм. Они всего лишь оперируют ими.
Что такое процессинг?
Что такое процессинг? Можно ответить просто: процесс обработки данных при совершении платежных операций. Для провайдеров платежных серверов, платежных сервис-провайдеров процессинг является основным видом деятельности. Ей занимаются процессинговые центры, иначе говоря, провайдеры.
Наиболее широко используются процессинг-центры в таком направлении как электронные платежи.
Тарифы на подключение процессинга
В платежных системах тарифы на подключение процессинга электронных валют и банковских карт разные, при этом оплата отличается в зависимости от целей. Например, «простое подключение» будет оплачиваться по разному для виртуальных услуг и товаров по всему миру.
Существует несколько тарифов для подключения:
Процессинг пластиковых карт
Процессинговые компании, в отличие от банков, не подчиняются определенным правилам и не имеют никаких обязательств перед вкладчиками. Такие процессинговые компании чаще всего сотрудничают сразу с несколькими банками, используя с выгодой работу этих учреждений, что сказывается на уменьшении комиссии для торговца. Обычный банк не имеет возможности работать с электронной наличностью в отличие от процессинговых компаний.
В отличие от интернет-эквайринга в банковских учреждениях «оффшорный» процессинг пластиковых карт менее прозрачен для регуляторов и контролеров. Эта позволяет обслуживать «особых» клиентов из группы «Super high risk».
Типы процессинговых систем
Типы процессинговых систем бывают: белые, серые, черные.
Перечень банков, подключенных к ОАО «Банковский процессинговый центр»
С целью внедрения в Республике Беларусь безналичных расчетов рядом крупных банков и предприятий был создан ОАО «Банковский процессинговый центр». Центр предоставляет комплекс услуг в области информационно-технологических безналичных расчетов с использованием платежных карт. Все предлагаемые услуги полностью сертифицированы и соответствуют правилам платежных систем. Клиентами процессионного центра являются все крупные предприятия республики.
Перечень банков, подключенных к ОАО «Банковский процессинговый центр»:
Построение собственного (In-House) процессингового центра
В нашей стране имеется много банковских учреждений и каждый более-менее серьезный игрок на этом рынке желает обеспечить построение собственного (In-House) процессингового центра. Не всегда это целесообразно экономически, но банки продолжают создавать ПЦ с завидным постоянством.
Причины, по которым баки создают собственную ПЦ:
возможные риски при передаче данных. Информация о клиентах и оборотах организации всегда известна стороннему ПЦ.
Совет от Сравни.ру: Если вы хотите расплатиться картой, проверьте, поддреживается ли она платёжной системой терминала оплаты. Обычно на вывесках магазинов указано, какие карты принимаются к оплате.
Путешествия банковской транзакции
Некоторое время назад на Хабре уже мелькали посты о работе банкоматов: один и два, но оба они описывали принципы работы банкоматов и вообще карточного процессинга весьма поверхностно.
Для интересующихся под катом много подробностей работы карточного процессинга банка (много букв).
Как выглядит упрощённая схема работы работы процессингового центра банка:
Процессинг
FrontEnd — отвечает за online сообщения: общение с банкоматами и POS-терминалами, передача авторизаций карт в VISA.
BackEnd — отвечает за offline: закрытие операционного дня, обмен финсообщениями с VISA.
HSM (Hardware Security Module) — модуль работы с ключами безопасности (подробнее описано ниже).
Все шифрование производится с помощью алгоритма 3DES.
Подключение к VISA
Online-подключение
Транспортный уровень
Подключение к VISA осуществляется через вполне конкретного провайдера, в 2006 году это был Equant и его партнёр в России — Golden Telecom, как обстоят дела сейчас — я не в курсе.
Получается, что VISA доступна в локальной сети одного провайдера. Это обязательное требование VISA. Для подключения провайдер прокладывает в банк собственный оптоволоконный кабель для основного канала связи и для резервного. Устанавливает конечные маршрутизаторы и выделяет по одному порту на каждом (основной и резервный). Управление маршрутизаторами осуществляется только провайдером.
Итак, связь транспортного уровня с VISA установлена, далее прикладной уровень.
Прикладной уровень
Связь прикладного уровня осуществляется по специальному протоколу, разработанному в VISA в незапамятные времена.
Кроме всего этого все сообщения должны передаваться зашифрованными. Для этого специальные люди — офицеры безопасности — генерируют ключевые последовательности заданной длины на HSM и результаты отправляются в VISA.
Оффлайн-подключение
Оффлайн-подключение — это не что иное, как обмен файлами с информацией обо всех транзакциях, совершённых за операционный день. То есть, если в банкоматах банка «А» были обслужены карты не банка «А». Подробнее об этом чуть ниже в сценарии «Чужой клиент в нашем АТМ».
Стоит немного рассказать про HSM.
HSM — это классический чёрный ящик. При инициализации он генерирует закрытую и открытую компоненту мастер-ключа банка. Закрытую компоненту никто никогда не видит, она всегда остаётся в памяти HSM.
Сам модуль имеет многочисленные уровни защиты от взломов: программного и физического. При малейшем намёке на компрометацию ключа память модуля самоуничтожается без возможности восстановления.
Три части открытой компоненты мастер-ключа записываются на 3 магнитные карты и выдаются офицерам безопасности банка.
Итак, связь с VISA установлена, и всё работает. Теперь нам надо выпускать карты.
При вступлении в VISA банку выдаются так называемые БИНы (Bank Identification Number): то есть подмножества номеров карт доступных для выпуска. Для VISA они всегда начинаются на 4.
БИНы распределены по карточным продуктам, например:
Формат номера выглядит так: допустим, у нас есть карта с номером: 4408 0412 3456 7890
Номер карты состоит из:
Для интересующихся вот здесь описано, как происходит валидация номера карты.
Для каждого БИНа генерируется пара ключей: IWK (issuer working key) и AWK (acquirer working key). Процедура генерации и передачи результата в VISA аналогична описанной выше.
После этого всё это добро прописывается в FrontEnd и BackEnd процессинга. В BackEnd для выпуска карт и их эмбоссирования, вo FrontEnd для обслуживания авторизаций.
Теперь у нас есть связь с VISA и есть выпущенные карты; другими словами, мы осуществили эмиссию карт. Нам осталось сделать эквайеринг.
Банкоматы
Не буду повторяться и описывать, что находится внутри банкомата, это уже описали здесь. Скажу только, что протокол NDC+ (NCR Direct Connect) разработан чёрт знает сколько лет назад корпорацией NCR — одним из ведущих производителей банкоматов на сегодняшний день.
Широко известны три производителя:
Да, и Siemens и IBM когда-то давно производили банкоматы, но впоследствии продали этот бизнес Wincor Nixdorf и Diebold соответственно.
Ваш покорный слуга является сертифицированным инженером как раз таки Wincor Nixdorf. Однако, у нас был один стародавний IBM, который был выпущен ещё до продажи бизнеса и который работал.
Не скажу, что работал он как часы, ибо его всё время приходилось подкручивать и подлаживать, чтобы он хоть как-то дышал, но для него можно было купить запчасти. Правда, стоили они в три раза дороже чем аналогичные для Wincor Nixdorf.
Итак, мы выяснили что есть два протокола по которому работают банкоматы. Мне довелось работать лишь с NDC+, про DDC я только слышал, но никогда не видел.
Поскольку я близко знаком только с Wincor Nixdorf, предположим, что наш банк купил именно их.
Когда на банкомат поставлен софт, который управляет всеми его многочисленными устройствами — надо подготовить банкомат к работе.
Готовим банкомат
Обучение
Банкомат надо обучить выдавать купюры. Для этого есть специальная процедура: банкомат отсчитывает по 10 листов из каждой кассеты и предлагает оператору ввести реальное количество отсчитанных листов. Если реальное количество отличается — банкомат откорректирует оптопары в тракте выдачи и предложит повторить процедуру.
Из опыта у меня всего пару раз банкомат ошибался, то есть, как правило, они с завода уже неплохо откалиброваны.
Ключи шифрования
В банкомат загружают 2 ключа шифрования:
мастер-ключ (MASTER KEY) — используется для шифрования ПИН-блока введённого клиентом.
коммуникационный ключ (COMM KEY) — для шифрования пакета к FrontEnd процессинга.
На HSM генерируются открытая и закрытая компонента каждого ключа, после чего открытая компонента прописывается во FrontEnd, а закрытая загружается в банкомат.
Оба ключа загружаются в ПИН-клавиатуру (EPP Encrypted Pin Pad) и хранятся только там. По сути EPP — это такой маленький HSM, который не умеет генерировать ключи, но умеет очень хорошо их хранить. Когда я плотно работал с банкоматами — EPP имели 7 ступеней защиты от физического проникновения.
После этого прописываем адрес процессинга, настраиваем VPN или что там придумают бойцы телекоммуникаций, и можно загружать сценарий работы банкомата.
Сценарий
Про сценарий уже было сказано в статье, на которую я ссылался, хочу лишь немного добавить.
Весь сценарий банкомата основан на так называемых ФИТах (Financial Institution Table).
FIT — не что иное, как БИН банка выданный VISA.
Например: для нашего родного банка мы позволим делать переводы с карты на карту, возможность просмотреть детали по вкладу и внести наличные на карточный счёт в дополнение к обычным возможностям (баланс, выдача наличных), а для всех остальных только баланс и выдача.
Таким образом, мы должны загрузить неколько ФИТов в банкомат:
Сценарий проверяет номер карты клиента и работает по первому совпадению в ФИТ-таблице.
Итак, мы полностью подготовили весь комплекс к работе, осталось самое главное: совершить транзакцию.
Транзакция
Самый простой сценарий: наш клиент в нашем АТМ:
Стоит отметить, что всё шифрование на стороне хоста осуществляется при помощи HSM.
То есть шаги 8 и 9 в деталях выглядят так:
Клиент получает свои 100 рублей и уходит довольный, однако это только половина дела.
В этот момент FrontEnd установил клиенту hold — заморозил на его лимите авторизации (доступная к снятию сумма) 100 рублей, но его текущий счёт никак не изменился.
Здесь стоит немного пояснить: в процессинге нет счетов клиентов — движение денег происходит по так называемым «лимитам авторизации». Фактически, лимит авторизации — не что иное, как карточный счёт клиента, но он никак не фигурирует в плане счетов и бухгалтерском балансе.
Другими словами, лимит авторизации есть техническая сущность, которая отражает состояние реального текущего счёта клиента в процессинге. Отличие лимита авторизации в том, что:
Вечером текущего дня или утром следующего дня (но, как правило, это делается ночью) закрывается операционный день. Все авторизации карт и суммы холдов выгружаются из FrontEnd и загружаются в BackEnd, где и происходит движение денег по текущим счетам клиентов. После этого финальные отчёты выгружаются в Автоматизированную Банковскую Систему, где хранятся текущие счета клиентов. На основании этих отчётов происходит реальное движение денег, а также во FrontEnd — новые лимиты авторизации (наш клиент из примера выше получает новый лимит авторизации, который меньше на 100 рублей).
Теперь сложнее: Чужой клиент в нашем АТМ:
Это была только авторизация, то есть реальных денег никто никому не перечислил. Теперь нам надо получить финсообщение об этой транзакции и получить возмещение от другого банка: 200 рублей наших денег, которые мы выдали его клиенту.
Само собой, все такие расчёты осуществляются в долларах, и тут играет роль курсовая разница, но это уже совсем другая история…
UPD: В комментариях, товарищ Spewow привёл ссылку на статью о HSM и криптографии
Процессинг банковских карт
Процессинг банковских карт
Обмен деньгами в наше время стал значительно проще для всех сторон: покупателей, продавцов, банков и даже для государственных структур, которые забирают налоги. Благодаря переходу денежных средств из физического объекта в информационный продукт все происходит за секунды, поэтому общая денежная масса увеличивается. Уже не надо пересчитывать купюры и монеты, заботиться, чтобы они были в кармане в нужное время. Все происходит через невидимые каналы, а название этой глобальной системе – процессинг платежных карт. Поскольку он может быть банковским и небанковским, то охватывает практически все сферы, где фигурируют финансы.
Механизм процессинга карт
Процессинг, как несложно догадаться, – это процесс обработки информации, которая существует в момент совершения денежной операции. Иными словами, это технология «доставки» денег от покупателя до продавца.
За привычными действиями по передаче и приему платежей стоит сложная система, которая связывается с различными участниками, проверяет, передает и фиксирует данные. Поскольку платежи каждый человек производит по несколько раз в день, а предприятие производит тысячи и миллионы операций, можно представить себе, как сложно и разветвленно работает процессинг.
Основными участниками его являются:
Чтобы пользоваться фактически виртуальными деньгами, построена система, которая при каждом активном действии проверяет информацию и изменяет ее. Если человек хочет купить что-либо в оффлайн или онлайн-магазине, он должен подтвердить свою платежеспособность. Для этого у него есть карта, которая содержит данные о банковском счете. Одна из функций процессинга – связаться с банком, запросить у него сведения о счете (действует ли он, не арестован и не заморожен), выяснить, достаточно ли средств для конкретной покупки. Если все в порядке, вступает в действие этап передачи средств с одного счета на другой, то есть эту информацию надо зафиксировать с обеих сторон: у покупателя заморозится или спишется сумма покупки, а у продавца пополнится.
Параллельно произойдут отчисления (свой процент получит платежная система и банк, осуществляющий эквайринг) и, например, передача данных в налоговую инспекцию о том, что продавец получил доход. Удобство заключается в том, что все операции производится автоматически, в любое время суток, день недели, и из любой точки, где есть соответствующий канал связи – Интернет.
Все процессы должны быть достоверными, надежными и своевременными, и за это готовы платить все игроки рынка – покупатели, продавцы и банки. Тем не менее, процессинг – это, в основном, забота продавца, так как он больше остальных стремится получить деньги с покупателей. Но, согласитесь, только единицам из общей массы удалось бы построить собственную систему, которая могла бы работать настолько точно, глобально и бесперебойно.
Процессинговые центры
Процессинговые центры – это технологические компании, обрабатывающие платежи по банковским картам и другим платежным методам. Они являются связующим звеном между всеми участниками расчетов: банками, продавцами и покупателями. Цель – обеспечить бизнесу прием денежных средств на сайте или в магазине за доли секунд.
Комиссия за процессинг платежей складывается из нескольких составляющих: комиссия банка, комиссия процессингового центра и interchange fee (комиссия за межбанковский взаимообмен). Как правило, зависит она от типа бизнеса и оборотов в месяц и рассчитывается индивидуально.
Казалось бы, логичнее всего заниматься вопросами процессинга непосредственно банкам. Но рынок устроен иначе. Да, крупные банки стремятся внедрять собственные платформы для процессинга, включают этот сервис в свое предложение для обслуживания бизнеса, но они не первопроходцы в этом.
Технологические компании изначально специализировались на разработке таких продуктов, а то время как банки были заняты другими задачами, а сейчас либо покупают технологию, либо пытаются создать ее самостоятельно на примере действующих протоколов.
Безопасность платежей
Разумеется, у процессинга платежных карт, который глобализовался незаметно для общества, должны существовать общие правила игры. Это сродни тому, что все граждане должны знать, как выглядит их национальная валюта и что у нее равная ценность в любой точке государства. Так вот, технологии процессинга формировались постепенно, некоторые решения были навязаны крупнейшими игроками, а также они меняются в процессе эволюции информационных технологий.
Например, сегодня крайне актуальна задача по шифровке данных, обеспечению их безопасности. Среди действующих решений практически обязательными стали 3-D Secure и Secure Socket Layer (SSL), но совсем не исключено, что со временем появятся и другие массовые инструменты, которые будут обеспечивать еще большую степень защиты информации.
Государства не могут остаться в стороне от контроля оборота средств в экономике, поэтому жестко контролируют вступающих в рынок игроков.
Почему выгодно работать с SBC
Процессинг – сложная система, относящаяся в высокотехнологической информационной отрасли. Даже банкам нелегко заниматься ее построением, хоть это и влечет за собой некоторые преимущества. Сравнить это можно с авиаперелетами – да, они удобны, быстры, но большинству людей нет смысла покупать или тем более строить собственный самолет – это экономически необоснованно. И даже если денег на покупку достаточно, все равно такие решения принимаются очень нечасто – опять же, дешевле и удобнее бывает летать специализированными компаниями, которые отвечают за техническое состояние, снабжение, содержание штата сотрудников и т.д.
Международная процессинговая система. Типы процессинговых систем
Использование пластиковых карт сопряжено с удобством и надежностью при расчете за товары и услуги. Обычному потребителю важна простота операций. Они и не задумываются о том, какие процессы совершаются в момент оплаты и сколько электронных систем задействовано в процессе платежа. Этот сложный комплекс, связывающий в одно целое множество операций, называется процессинг.
Процессинговая система – что это?
Процессинг – это процесс обработки данных, предусматриваемых при проведении платежных операций. Процессинговые центры, предоставляющие услуги по поставке программного обеспечения и обслуживания платежных систем, являются одним из звеньев системы эквайринга. Его цель – осуществление платежных транзакций по платежным картам.
Участниками эквайринговых операций являются:
Процессинговая система обязана обеспечить постоянную бесперебойную связь между участниками расчётов.
Функции системы эквайринга
Во время оплаты картой проверяются следующие реквизиты:
Также процессинговая система осуществляет транзакции по переводу денежных средств через платежный шлюз и обеспечивает сохранность и секретность проводимой операции, защиту от мошенников.
Управление этими процессами производится в аппаратно-программных комплексах, которые подключены в эквайриновую систему каналов связи. Очень важным фактором хорошего центра является её быстрая модернизация, скорость обработки и передачи данных.
Особенности организации процессинга
Систему обработки платежей с применением пластиковых карт, основанную на автоматизации процесса, чаще всего используют в сфере e-commerce. При помощи отлаженной работы всех систем, быстро отслеживающих расчеты между держателем карты, банком-эквайером, платежным шлюзом, магазином и владельцем платежного чипа, связующим звеном между участниками сделки становится процессинговый центр.
Схема функционирования производит реализацию таких задач:
В дополнительные услуги подобных центров входит изготовление пластиковых карт, их персонализация и защита. Процессинговая система банка может включать в свой состав платежные центры.
Функциональность процессингового центра
Платежные системы ежеминутно обрабатывают огромное количество информации и запросы на финансовые транзакции. Поэтому процессинговые центры обладают высокопроизводительными мощностями вычислительной техники. Также компании снабжаются защитным программным обеспечением, так как безопасность платежных систем – гарант надежности в глазах потребителя. Процессинговые системы включают в свой состав штат высококвалифицированных программистов, способных обслуживать оборудование и своевременно отражать хакерские атаки.
Виды и типы процессинговых систем
В России для электронных расчетов финансовые компании создают собственные платежные центры. Они снабжаются программным продуктом, который осуществляет контроль эмитированных карт.
Интеграция в международные системы обязывает наши финансовые учреждения использовать услуги зарубежных процессинговых центров и внедрять их программное обеспечение. Также отечественные банки зависят от мировых монстров как юридически, так и финансово. То есть полностью обязаны выполнять требования по сотрудничеству ради удобства потребителя.
Крупнейшие процессинговые системы в России используют платежные комплексы, разработанные «Компанией объединенных карточек». Самые известные зарубежные центры – Visa, Master Card, Skrill и другие. Все процессинговые комплексы производят интернет-эквайринг при помощи единой сети.
Проблема российских финансовых систем в том, что каждый банк производят свою собственную платежную систему, не предоставляя возможности пользования ею другим игрокам рынка.
Безопасность
К сожалению, на сегодняшний день ни одна процессинговая система не может обеспечить полную защиту клиентов от мошенников. Одним из методов борьбы с хакерами явилось появление комплекса мер безопасности по стандарту PCI DSS. 
Согласно его положениям, на всех этапах удаленных банковских операций с карточным счетом на каждого участника платежной схемы накладываются обязательства:
Вся информация передается при помощи криптографических алгоритмов и защитных протоколов по стандартам PCI DSS. Каждых участник финансовой операции постоянно проходит аудит по мерам безопасности. Стандарт PCI DSS также предъявляет требования и к электронным платежным системам, которые проходят обязательную сертификацию.
Лицензия платежной системы (процессинг)
При запуске процессинга необходима лицензия, которую можно получить у провайдера, предоставляющего услуги для процессинговых центров. Подобные компании предоставляют безопасный и эффективный сервис, используя знания и многолетний опыт работы в индустрии процессингового центра.
Требования платежных систем
Подключение платежных систем
Обзор некоторых международных платежных систем
Международные процессинговые системы представлены следующими известными компаниями:
Каждый может выбрать для себя ту систему, которая отвечает его представлениям о качестве услуг, скорости операций и безопасности.