В марте Visa и MasterCard блокировали операции по картам четырех российских банков, чьи владельцы попали в список санкций со стороны США. В ответ депутаты Госдумы предложили запретить с 1 октября размещение операционных центров международных платежных систем вне России и ограничить их право отказываться от предоставления услуг клиентам в одностороннем порядке. Клиентам это может дать определенные гарантии, но только при соблюдении ряда условий, предупреждают эксперты.

Как это работает

Для потребителя процесс покупки с помощью пластиковой карты выглядит практически так же просто, как и оплата наличными. Однако на самом деле это сложная процедура, в которой участвует много сторон. Между покупателем и продавцом в цепочке располагаются: процессинговый центр, собственно платежная система, банк-эмитент карты, с которой списываются деньги, а также банк, на который поступают средства.

Информационное и технологическое взаимодействие между участниками расчетов обеспечивает процессинговый центр. Он представляет собой сложный и дорогостоящий программно-аппаратный комплекс, который состоит из серверов, ПО для обработки информации, комплексов защиты и предотвращения от сбоев в работе.

Процессинговые центры бывают разные. Во-первых, есть клиринговые центры платежных систем — именно их имели ввиду депутаты, предлагая обязать платежные системы иметь такие объекты на территории России. Во-вторых, есть процессинговые центры банков, которые подключаются к разным платежным системам. В-третьих, есть центры особых процессинговых компаний, к которым подключаются банки, не имеющие своих процессинговых центров (такие компании оказывают аутсорсинг услуг по доступу к процессингу платежных систем).

Одна из важнейших задач процессингового центра — обеспечить обработку запросов на авторизацию банковских карт. Так, именно процессинговый центр проверяет номер, имя владельца карты, коды безопасности и решает, должна ли быть проведена запрашиваемая операция. Запрос от кассового терминала процессинговый центр перенаправляет в базу данных платежной системы. Там происходит сверка данных. Если карта действительна и средств на ней достаточно, то терминалу в магазине передается положительный ответ из банка, клиентом которого является покупатель. Процессинговый центр при этом (эту часть процесса покупатель не видит) делает платежное поручение с целью перевода денежных средств с счета клиента на счет продавца. Сложная операция происходит за считанные секунды.

При покупке товаров через интернет процесс обмена деньгами между покупателем и продавцом выглядит точно так же, с той лишь разницей, что вместо считывающего терминала информацию по карте запрашивает и передает далее ПО, принадлежащее отдельной компании, с которой у интернет-магазина заключен договор на обслуживание. Интернет-магазин не может подключиться напрямую к процессинговому центру платежной системы. Чтобы принимать платежи с банковских карт, он должен воспользоваться услугами посредника: банка или PSP (платежного агрегатора). Таким агрегатором, к примеру, являются «Яндекс.Деньги». Важно, чтобы у самого посредника были договоры о сотрудничестве с глобальными системами вроде Visa и MasterCard.

Как платежные системы могут отключить карточки российских банков

Платежная система выдает банку идентификационные номера (БИНы). БИН — уникальный идентификатор, принадлежащий банку и представляющий собой первые 6 цифр номера карты. «Платежные системы после наложения санкций просто заблокировали все транзакции для карт с номерами, начинающихся с БИНов банка Россия, для всех участников системы. Следовательно, банки по всему миру, в том числе и в России, потеряли возможность принимать карты, номера которых начинаются с БИНов банка «Россия»», — объясняет Юрий Божор, начальник управления пластиковых карт банка «Открытие».

«В общем случае, независимо от местоположения банков, операции между банками по обслуживанию карт проходят через сервера платежных систем, — продолжает эксперт. - Таким образом, если платежные системы заблокируют БИНы банка, то операции по его картам не будут проходить нигде, за исключением сети терминалов этого банка».

Влияет ли расположение процессингового центра на операции?

В России работают местные юрлица Visa и MasterCard. По оценкам экспертов, которые приводит «РБК daily», сейчас доля платежной системы Visa на российском рынке достигает 60%, MasterCard — до 35%, при этом число держателей MasterCard растет опережающими темпами. Процессинговых центров у этих платежных систем несколько, они расположены в разных странах мира. Где именно, в компаниях не сообщают (очевидно, что в том числе и в США).

Построить клиринговый центр собственной платежной системы, которая обслуживала бы только клиентов в России — процесс дорогостоящий и долгий, от 6 до 12 месяцев. «Открытие клирингового центра — это дорогостоящий проект», — подтверждают в пресс-службе «Яндекс.Денег», не уточняя при этом детали.

Если США введут санкции, российские банки, которые под них попадут, просто отключат от доступа к этим процессинговым центрам. Если же они будут использовать центры «национальной платежной системы», то их, конечно, не отключат, но о работе таких карт за рубежом можно забыть. Равно как и о покупках с помощью таких карт во всех зарубежных интернет-магазинах.

Представитель «Яндекс.денег» заявил iBusiness.ru, что «обычно платежные системы не размещают свои процессинговые (клиринговые) центры во всех странах присутствия, но если работа платежных систем в определенной стране будет ограничена санкциями, наличие или отсутствие их собственных локальных процессинговых центров вряд ли повлияет на ситуацию».

Юрий Божор из банка «Открытие» говорит, что разовые затраты иностранных платежных систем на строительство процессинговых центров в России составят от $10 до $50 млн. «Деньги необходимо затратить на закупку и настройку «железа» и программного обеспечения. Технологии совершенно понятны, здесь вопрос чисто технический», — говорит он.

В отличие от коллег из «Яндекс.Денег», Божор считает, что процессинговый центр на территории России, который построила бы, например, Visa, мог бы решить проблему санкций. «Если ЦОД будет на территории России, управляться российским юридическим лицом, действующим по российскому законодательству и подконтрольным российским органам надзора, то любая команда извне может быть не исполнена. Особенно, если этот процесс будет описан в нормативных документах», — объясняет эксперт.

Схожего мнения придерживается и Валентина Кузьмина, директор департамента платежных карт «Промсвязьбанка». По ее словам, чтобы национальным операциям никто не мог помешать, они не должны выходить за пределы страны как при прохождении авторизационных запросов, так и при проведении клиринга. «Если обеспечивающие это процессинговые центры платежных систем будут созданы, то они должны контролироваться российскими регуляторами, в том числе по тарифной политике, должно быть запрещено отключение по инициативе платежной системы каких-либо операций (за исключением мошеннических) и/или участников платежной системы без согласования с регуляторами», — предлагает эксперт.

Нужна ли России собственная платежная система?

Самая известная мировая национальная платежная система — китайская UnionPay. Ее создали в 2002 году по инициативе Госсовета и Народного банка Китая, в качестве соучредителей выступили четыре крупнейших госбанка страны. Российский аналог может быть построен на базе платежной системы Сбербанка (известна под торговым названием «ПРО 100″). Но Божор говорит, что создавая аналогичную систему в России, власти могут защитить только внутрироссийские операции. Эксперт подчеркивает, что это возможно только «при условии создания российского сегмента платежной инфраструктуры, все вычислительные мощности и коммуникационное оборудование которого будут находиться на территории России и управляться российским юридическим лицом, действующим по российскому законодательству и подконтрольным российским органам надзора. Тогда любое действие иностранных правительств не должно иметь влияния на внутрироссийские операции», — подчеркивает он.

Процессинг платежей. Необходимая историческая справка:
До начала эпохи Интернет и появления возможности проверки баланса по кредитной карте в режиме “online”, существовало три вида организаций, принимающих участие в карточных платежах:

Процессинг пластиковых карт

Возможности «чистых процессингов»

Преимущества процессинговых компаний перед банковскими структурами заключаются в том, что они не подчиняются банковским правилам и не связаны какой-то определенной политикой или обязательствами перед вкладчиками. Как правило, такие «процессоры» работают одновременно с несколькими банками, выгодно используя особенности каждого, что в итоге дает меньший размер комиссии для торговца. Вторым их преимуществом является способность работать с электронными валютами, как это не может делать обычный банк.

Процессинг банковских карт без «надбанковского» контроля (особенно оффшорный), значительно менее «прозрачен» для для различных регуляторов и контролеров, чем в престижных банках. Эта его особенность позволяет обслуживать клиентов класса «Super high risk», иногда также иронично называемых «Hard to place merchants». Для работы с такими «особыми» клиентами используются операции подмены класса торговца, замены реплик, «разбавлению» платежей, платежами «самому себе» для снижения процента чарджбэков, а также другие хитрости. Сегодня, при работе в связке некоторыми азиатскими банками, такие процессинги могут скрывать даже факты мошенничества подключенных «черных торговцев» от VISA. Конечно, стоимость процессинга в таких организациях значительно выше, а само взаимодействие сопряжено со значительными рисками.

Карточные компании-регуляторы, выпускавшие карты для банков и оборудование для их считывания. Это были VISA, MasterCard, American Express и некоторые другие

Банки, которые под контролем регуляторов выдавали кредитные карты своим клиентам и осуществляли операции списания/начисления средств между собой, используя базы данных и финансовые гарантии регуляторов

Процессинговый центр

Законодательство. Лицензирование. Отношения с банками.

За последние 15 лет в большинстве стран разработано законодательство, регламентирующее карточный процессинг в интернет. Как правило, это некий набор прав и обязанностей под названием PSP / IPSP License (Internet Payment Service Provider License). Стоимость таких лицензий и предоставляемые возможности в каждом государстве свои. Но, обычно, IPSP позволяет компаниям, при наличии договоренностей с банками, являющимися членами VISA и MasterCard (и обладающими соответствующей лицензией PSP на банковский процессинг), инициировать процедуру клиринга, т.е. списания денег с одного счета и начисления на другой.

Кроме различных PSP и IPSP лицензий, существуют также регламентирующие документации компаний-регуляторов, которые определяют общие правила игры на мировом рынке карточных платежей. Наиболее обширная из таких документаций это «Card Acceptance and Chargeback Management Guidelines» компании VISA.

С развитием рынка электронных платежей многие крупные процессинговые системы создали собственные банки . Однако большинство процессинговых компаний все же являются «чистыми процессингами» построившими процессинговые центры и заключившими договоры сразу с несколькими банками. Это дает им определенные преимущества и одновременно является их слабым местом - они не владеют деньгами. Как работает классический процессинг кредитных карт проиллюстрировано .

Типы процессинговых систем

Как видно, процессинг карт делится на три вида: «белый», «серый» и «черный»:

Абсолютно законопослушные «белые» процессинги это, как правило, резиденты ЕС и США. Они работают с низкорисковыми бизнесами компаний платящих все налоги в престижных юрисдикциях . Стоимость подключения к таким платежным системам минимальна, а сама процедура доступна каждому. К сожалению, налоги в престижных юрисдикциях не позволяют им конкурировать по размеру комиссии со вторым классом провайдеров.

В «серую зону» входят фирмы, зарегистрированные в различных оффшорах , низконалоговых юрисдикциях и некоторых страны азиатского региона. Это нормальные компании, отличающиеся от «белых» тем, что готовые вести переговоры по обслуживанию практически любых бизнесов, в том числе по продаже фармацевтики, «дэйтинг» сервисов, сайтов для взрослых и прочих High Risk классов. В переговорах с такими компаниями сложность заключается в том, что они не готовы общаться на «скользкие темы» с клиентами «с улицы». Для общения с ними по «сложным подключениям» требуются личные контакты, репутация, а иногда и гарантии представителя. Но, как правило, это оптимальный выбор по соотношению цена/качество.

Что касается «черных процессингов» , то они решают задачи обработки платежей любых, даже откровенно противозаконных бизнесов. По техническим причинам деятельность такого рода невозможно осуществлять самостоятельно без участия банка открывшего счет, поэтому они всегда работают в связке с последними. Как правило, это одиозные оффшоры и китайские банки. По причине огромных оборотов и рисков в этой области, такие структуры глубоко законспирированы и самостоятельно «выйти» на их представителей практически невозможно. А если и удастся наладить сотрудничество, то высока вероятность, что процессинг «закроется» вместе со всей суммой «холда». Тем не менее, работа в этой области возможна.

В 90-годы с развитием Глобальной сети появилась возможность проверять баланс платежных карт в режиме “online” и банки начали выпускать первые дебетовые карты (до этого карты были только «кредитные»). Одновременно с этим появились группы специалистов, которые, пользуясь отсутствием законодательства в области Интернет-платежей, начали создавать свои собственные электронные валюты. Эти компании являлись по сути своей Интернет-банками, но по факту действовали вне банковского законодательства. И появилась необходимость дать название такой деятельности, появился термин «Процессинг», как сокращение от «Credit Card Processing». Серверные комнаты с биллинговыми серверами начали называть «Процессинговыми центрами» (Transaction Processing Clearinghouse), а компании, оказывавшие процессинговые услуги стали именовать «Платежными процессингами» (Payment Processor).

Наши процессинговые услуги

Наш процессинговый центр обладает широкой сетью контрагентов по всему миру. Данная особенность позволила нам установить тесные контакты со многими иностранными и оффшорными процессинговыми компаниями и банками. По заданию заказчика, мы осуществляем подбор платежных систем и подключение к ним на самых выгодных условиях. Нашим клиентам мы оказываем следующие услуги:

Подбор процессингового центра предоставляющего наилучшие условия

Подбор оффшорной процессинговой компании для новой бизнес-модели

Проведение переговоров по подключению

Консультации по любым вопросам получения услуги процессинга

Мы подключаем любые классы торговцев и помогаем в реализации самых сложных схем биллинга, таких, как исходящие платежи физическим лицам , массированные микроплатежи или создание пунктов обмена электронных валют. Наша компания заинтересована как в выполнении разовых заказов, так и в проведении исследований рынка и сопровождении вашего бизнеса на протяжении длительного времени в области юридического, налогового, маркетингового и IT консалтинга. Мы всегда рады вам. Обращайтесь.

Все представленные на этой Интернет-странице текстовые и графические материалы
являются собственностью ООО «Смарт Групп» - компании зарегистрированной на территории Российской Федерации.
Использование этих материалов без письменного согласия правообладателя запрещено и будет преследоваться в соответствии
с законодательством путем обращения в хостинг центры, обслуживающие Интернет-сайты нарушителей, а также путем обращения
в судебные инстанции по месту регистрации компании нарушителя или проживания физического лица нарушителя.

Процессинг (Payment Processing)

Тарифы на подключение процессинга VISA и MasterCard, а также электронных валют в платежных системах наших партнеров. (подключение к нашей системе всегда бесплатно)	Для виртуальных товаров/услуг по всему миру	Для физических товаров/услуг в России	Для физических товаров/услуг в Европе
Простое подключение веб-сайта к партнерскому зарубежному процессингу или банку Рассылка информации по процессинговым центрам Выбор решения с оптимальными условиями Переговоры с представителями платежных систем	299 € подключение к процессингу	370 € подключение к процессингу	199 ~ 970 EUR зависит от полноты предоставленной документации
Агрегированное решение для "сложных" подключений с налоговым планированием и большим количеством платежных опций Рассылка информации по партнерским процессингам и банкам (более 50 провайдеров) Налоговое планирование (проектирование оффшорной схемы ведения деятельности) Создание сткуктуры юридических лиц (1-4 шт. в зависимости от сложности решения) Выбор платежных решений с оптимальными условиями по комиссиям и списку опций Подготовка набора необходимых документов Переговоры с представителями процессингов Консультации по проведению системной интеграции	1770 € одна компания, счет в оффшоре, подключение процессинга	~3700 € 2-3 компании, счета в оффшорах, подключение к процессингу + 999 € налоговое планирование	2499 € одна компания, счет в оффшорном банке, сложное подключение процессинга
Опционально Подготовка договоров для компаний холдинга и оферт для конечных клиентов Защита прав на объекты интеллектуальной собственности (доменное имя, программы и т.п.) Получение лицензий на ведение деятельности Открытие оффшорных счетов для акционеров	По стандартным ценам, либо по договоренности

Тарифы на подключение процессинга:

Внешне расчеты платежными картами выглядят достаточно монолитно, однако «внутренняя кухня» – обработка платежей – может удивить любого неискушенного в карточном бизнесе.

В процессе участвуют карточные компании, которые обычно не выпускают карты, а занимаются обработкой и поддержкой транзакций в интересах других игроков. Есть процессинговые центры, которые предоставляют услуги торговцам и способны перебрасывать деньги между банками. Есть банки, которые работают с торговцами и организовывают точки приема карт, а есть банки, которые выпускают дебетовые и кредитные карты для потребителей.

Хотите черную кредитку Монобанка с лимитом до 100 000 гривен? Просто нажмите на этот баннер!

Более того, в последние годы появились игроки, которые делают практически все из вышеперечисленного. И это один из интересных трендов, который наблюдаются в развитых странах.

В обычной карточной транзакции принимают участие полдюжины игроков – от потребителя к торговцу, после чего к платежному шлюзу и процессинговому центру, потом через сети банка-эмитента и банка-эквайера, и затем назад.

В этой статье проект предлагает более пристально взглянуть на роли основных участников процесса расчетов платежными картами.

Платежные системы

Платежные системы – Visa, MasterCard, American Express и Discover – находятся в самом сердце платежной индустрии, оказывая поддержку в проведении транзакций между потребителями, торговцами, процессинговыми центрами и банками. Они создали специальные электронные сети, которые позволяют игрокам рынка обмениваться информацией, данными и обрабатывать транзакции. За это они удерживают комиссии с финансовых учреждений, вовлеченных в процесс, основываясь на общем объеме транзакций (а не отдельно по каждой транзакции).

На чем зарабатывают платежные системы?

Платежные системы, для простоты возьмем Visa, получают комиссии от финансовых учреждений. Visa получает доход в виде небольшого процента (0.13% в 2015г) от общего объема транзакций, а не от каждой транзакции в отдельности. Но кроме этого, она также устанавливает и распределяет комиссию, уплачиваемую торговцем остальным игрокам. И, хотя этот процент может показаться незначительным, миллиарды ежегодных транзакций превращают его в огромный доход для всех игроков этого рынка.

Самое интересное, что у систем вроде Visa существуют устоявшиеся отношения с банками, а их технологии очень глубоко проникли в финансовый сектор и укоренились там, что создало высокий барьер для входа новых игроков на этот рынок. Международные платежные системы также имеют низкие маржинальные затраты, что делает их бизнес-модели весьма привлекательными для инвесторов.

Бизнес-модели American Express и Discover отличаются от Visa и MasterCard. Они консолидируют в себе функции банка-эквайера, банка-эмитента и платежной системы, самостоятельно открывают кредитные линии своим клиентам и выпускают платежные инструменты, таким образом уменьшая количество участников процесса обработки транзакций.

Эмитенты карт

Эмитенты карт – финансовые учреждения, которые выпускают карты платежных систем своим клиентам. Например, американский Capital One может эмитировать (выпустить) платежную карту Visa. Эти учреждения также переводят деньги банку, который организовал для торговца приём карт и в котором открыты счета торговца (его обычно называют банк-эквайер), в интересах своих клиентов – держателей карт определенных платежных систем, выступающих покупателями по какой-либо транзакции.

На чем зарабатывают банки-эмитенты?

От каждой транзакции банк-эмитент получает комиссию, которая называется интерчейндж (interchange fee). Наверняка, вы где-то уже слышали это слово. Интерчейндж платится банком-эквайером, в котором открыты счета торговца, банку-эмитенту, картой которого расплатился покупатель в магазине.

Интересно, что интерчейндж устанавливается платежной системой, а размер этой комиссии может сильно меняться в зависимости от комбинации факторов – тип карты, тип транзакции, тип торговца, а также от уровня риска определенной транзакции.

Торговые эквайеры

Для того, чтобы торговец (магазин) смог принимать платежи по картам покупателей, ему необходимо работать с финансовым учреждением, чаще всего банком. В мире платежей их называют торговыми эквайерами. Они бывают двух разных видов и выполняют задачи процессинга платежей или организации платежных шлюзов.

Процессинговые центры

Процессинговые центры – это технологические системы, работающие на площадках банков и интегрированные в сети платежных систем, чтобы помочь торговцам принимать и обрабатывать платежи по предоплаченным, дебетовым и кредитным картам. Они проверяют детали транзакций, наличие средств на картсчете, а также осуществляют определенные мероприятия, чтобы исключить или снизить уровень мошенничества с использованием платежных инструментов.

Они могут принадлежать банкам, например, такой есть у американского Bank of America. Либо они могут быть независимыми, например, как американский Vantiv (когда-то отделился от Fifth Third Bank). Характерной особенностью процессингов является их способность, в техническом плане, обрабатывать транзакции. И иногда эти центры используют услуги платежных шлюзов, чтобы продвигать и продавать свои услуги.

На чем зарабатывают процессинговые центры?

Процессинг способен делать деньги двумя путями – принимать и обрабатывать платежи, а также осуществлять урегулирование счетов. Некоторые процессинговые центры, как Vantiv, также работают с финансовыми учреждениями для интеграции других сервисов.

С точки зрения эквайринга, доход зависит от количества транзакций и объема продаж торговца в денежном эквиваленте. Комиссия процессинга может устанавливаться как процент от продаж торговой точки (так называемая скидка торговца), или быть фиксированной по отношению к каждой транзакции.

Независимые торговые организации (платежные шлюзы)

Независимые торговые организации (их часто называют ISO – Independent Sales Organizations) и платежные шлюзы служат посредником между торговцем и его банком, и перепродают услуги процессинговым центрам. В некоторых случаях ими могут выступать банки. Например, американский банк Wells Fargo выступает в качестве ISO -компании для независимого процессингового центра First Data (когда-то он принадлежал American Express).

ISO -компании, работающие как платежные шлюзы, обеспечивают безопасную передачу данных по транзакции. Они также обслуживают счета банка-эквайера и могут продавать его услуги торговцам. Например, многим известный Square предлагает торговцам эквайринг компании Chase Paymentech. Кроме этого, они могут сдавать торговцам в лизинг POS -терминалы и решать проблемы клиентов, у которых возникли трудности с платежными картами.

Поскольку ISO -компания не является банком, она физически не способна управлять деньгами торговца и, соответственно, ее деятельность в этой сфере не регулируется. Частично это является причиной того, почему наибольшее количество инноваций в платежной сфере происходит именно вокруг независимых торговых организаций. Например, мы писали про платежный шлюз BrainTree , используемый Uber и AirBnB.

Традиционными ISO -компаниями, которые в США предлагают POS -технологии торговцам в оффлайне, являются Verifone и NCR . Однако с развитием онлайн-платежей на рынке появилось много новых игроков – BrainTree, Stripe, Square и другие.

На чем зарабатывают независимые торговые организации?

ISO -компании делают деньги разными путями и это очень зависит от особенностей контракта и контрагента. Им могут платить остаток комиссии, взимаемой с торговца, после вычета интереса банка-эмитента, платежной системы и компании-эквайера. Например, Square получит свою долю только после того, как соответствующее вознаграждение поделят меду собой Capital One, Visa и Chase Paymentech.

На некоторых транзакциях ISO даже могут терять деньги. Однако эти убытки возмещаются в тот момент, когда потребитель делает покупку с помощью дебетовой карты, по которой устанавливается очень низкий интерчейндж, либо когда они получают оплату за другие услуги.

Как все это выглядит на примере?

Например, торговец использует услуги ISO -компании (платежного шлюза), такого как Square, комиссия которого указана на их сайте и составляет 2.75%.

Потребитель делает покупку в магазине на $100, но торговец в итоге получит на свой счет $97.25. Комиссия, которую магазин заплатит за торговый эквайринг, составит $2.75.

• $2.20 уходит банку-эмитенту, который открыл счет и выпустил карту потребителю. Эта сумма состоит из интерчейнджа (например, здесь он в качестве примера составляет 2.10% + $0.10), который устанавливается платежной системой Visa, однако, в нашем примере, платится банку Capital One.
• $0.13 забирает себе Visa – это 0.13% от общего объема транзакций (в качестве примера).
• $0.19 уходит компании-эквайеру, в нашем примере это Chase Paymentech, который удерживает комиссию по ставке интерчейндж плюс – это $0.13 + $0.06.
• Что остается – это доход ISO -компании (платежного шлюза).

Вот как это выглядит на картинке:

Популярные предложения (Украина)

Некоторое время назад на Хабре уже мелькали посты о работе банкоматов: и , но оба они описывали принципы работы банкоматов и вообще карточного процессинга весьма поверхностно.
Для интересующихся под катом много подробностей работы карточного процессинга банка (много букв).

Как выглядит упрощённая схема работы работы процессингового центра банка:

Процессинг

FrontEnd - отвечает за online сообщения: общение с банкоматами и POS-терминалами, передача авторизаций карт в VISA.
BackEnd - отвечает за offline: закрытие операционного дня, обмен финсообщениями с VISA.
HSM (Hardware Security Module) - модуль работы с ключами безопасности (подробнее описано ниже).

Все шифрование производится с помощью алгоритма 3DES .

Подключение к VISA

Банк имеет два типа подключения к VISA:

• online
• offline

Online-подключение

Транспортный уровень
Подключение к VISA осуществляется через вполне конкретного провайдера, в 2006 году это был Equant и его партнёр в России - Golden Telecom, как обстоят дела сейчас - я не в курсе.

Получается, что VISA доступна в локальной сети одного провайдера. Это обязательное требование VISA. Для подключения провайдер прокладывает в банк собственный оптоволоконный кабель для основного канала связи и для резервного. Устанавливает конечные маршрутизаторы и выделяет по одному порту на каждом (основной и резервный). Управление маршрутизаторами осуществляется только провайдером.

Итак, связь транспортного уровня с VISA установлена, далее прикладной уровень.

Прикладной уровень
Связь прикладного уровня осуществляется по специальному протоколу, разработанному в VISA в незапамятные времена.

Кроме всего этого все сообщения должны передаваться зашифрованными. Для этого специальные люди - офицеры безопасности - генерируют ключевые последовательности заданной длины на HSM и результаты отправляются в VISA.

Оффлайн-подключение

Оффлайн-подключение - это не что иное, как обмен файлами с информацией обо всех транзакциях, совершённых за операционный день. То есть, если в банкоматах банка «А» были обслужены карты не банка «А». Подробнее об этом чуть ниже в сценарии «Чужой клиент в нашем АТМ».

Стоит немного рассказать про HSM.

HSM

HSM - это классический чёрный ящик. При инициализации он генерирует закрытую и открытую компоненту мастер-ключа банка. Закрытую компоненту никто никогда не видит, она всегда остаётся в памяти HSM.

Сам модуль имеет многочисленные уровни защиты от взломов: программного и физического. При малейшем намёке на компрометацию ключа память модуля самоуничтожается без возможности восстановления.

Три части открытой компоненты мастер-ключа записываются на 3 магнитные карты и выдаются офицерам безопасности банка.

Итак, связь с VISA установлена, и всё работает. Теперь нам надо выпускать карты.
При вступлении в VISA банку выдаются так называемые БИНы (Bank Identification Number): то есть подмножества номеров карт доступных для выпуска. Для VISA они всегда начинаются на 4.

БИНы распределены по карточным продуктам, например:

• VISA Classic: 400001
• VISA Gold: 400002
• VISA instant issue: 400003
• и так далее

Формат номера выглядит так: допустим, у нас есть карта с номером: 4408 0412 3456 7890

Номер карты состоит из:

• 4ХХХХХ - код VISA
• 4408(04) - код банка (код карточного продукта)
• 12 3456 7890 - номер лимита авторизации. Подробнее о лимите авторизации ниже.

Для интересующихся вот описано, как происходит валидация номера карты.

Для каждого БИНа генерируется пара ключей: IWK (issuer working key) и AWK (acquirer working key). Процедура генерации и передачи результата в VISA аналогична описанной выше.

После этого всё это добро прописывается в FrontEnd и BackEnd процессинга. В BackEnd для выпуска карт и их эмбоссирования, вo FrontEnd для обслуживания авторизаций.

Теперь у нас есть связь с VISA и есть выпущенные карты; другими словами, мы осуществили эмиссию карт. Нам осталось сделать эквайеринг.

Банкоматы

Не буду повторяться и описывать, что находится внутри банкомата, это уже описали здесь. Скажу только, что протокол NDC+ (NCR Direct Connect) разработан чёрт знает сколько лет назад корпорацией NCR - одним из ведущих производителей банкоматов на сегодняшний день.

Широко известны три производителя:

• Wincor Nixdorf GmBH (бывший Siemens Nixdorf)
• Diebold (бывший IBM)

Да, и Siemens и IBM когда-то давно производили банкоматы, но впоследствии продали этот бизнес Wincor Nixdorf и Diebold соответственно.
Ваш покорный слуга является сертифицированным инженером как раз таки Wincor Nixdorf. Однако, у нас был один стародавний IBM, который был выпущен ещё до продажи бизнеса и который работал.
Не скажу, что работал он как часы, ибо его всё время приходилось подкручивать и подлаживать, чтобы он хоть как-то дышал, но для него можно было купить запчасти. Правда, стоили они в три раза дороже чем аналогичные для Wincor Nixdorf.
Итак, мы выяснили что есть два протокола по которому работают банкоматы. Мне довелось работать лишь с NDC+, про DDC я только слышал, но никогда не видел.
Поскольку я близко знаком только с Wincor Nixdorf, предположим, что наш банк купил именно их.

Когда на банкомат поставлен софт , который управляет всеми его многочисленными устройствами - надо подготовить банкомат к работе.

Готовим банкомат

Обучение

Банкомат надо обучить выдавать купюры. Для этого есть специальная процедура: банкомат отсчитывает по 10 листов из каждой кассеты и предлагает оператору ввести реальное количество отсчитанных листов. Если реальное количество отличается - банкомат откорректирует оптопары в тракте выдачи и предложит повторить процедуру.

Из опыта у меня всего пару раз банкомат ошибался, то есть, как правило, они с завода уже неплохо откалиброваны.

Ключи шифрования

В банкомат загружают 2 ключа шифрования:
мастер-ключ (MASTER KEY) - используется для шифрования ПИН-блока введённого клиентом.
коммуникационный ключ (COMM KEY) - для шифрования пакета к FrontEnd процессинга.

На HSM генерируются открытая и закрытая компонента каждого ключа, после чего открытая компонента прописывается во FrontEnd, а закрытая загружается в банкомат.
Оба ключа загружаются в ПИН-клавиатуру (EPP Encrypted Pin Pad) и хранятся только там. По сути EPP - это такой маленький HSM, который не умеет генерировать ключи, но умеет очень хорошо их хранить. Когда я плотно работал с банкоматами - EPP имели 7 ступеней защиты от физического проникновения.

После этого прописываем адрес процессинга, настраиваем VPN или что там придумают бойцы телекоммуникаций, и можно загружать сценарий работы банкомата.

Сценарий

Про сценарий уже было сказано в статье, на которую я ссылался, хочу лишь немного добавить.
Весь сценарий банкомата основан на так называемых ФИТах (Financial Institution Table).
FIT - не что иное, как БИН банка выданный VISA.
Например: для нашего родного банка мы позволим делать переводы с карты на карту, возможность просмотреть детали по вкладу и внести наличные на карточный счёт в дополнение к обычным возможностям (баланс, выдача наличных), а для всех остальных только баланс и выдача.

Таким образом, мы должны загрузить неколько ФИТов в банкомат:

• 400001, 400002, 400003 - позволим всё и вся
• 999999 - только выдача и баланс

Сценарий проверяет номер карты клиента и работает по первому совпадению в ФИТ-таблице.

Итак, мы полностью подготовили весь комплекс к работе, осталось самое главное: совершить транзакцию.

Транзакция

Самый простой сценарий: наш клиент в нашем АТМ:

1. Клиент вставляет карту в АТМ;
2. АТМ видит что клиент наш и выдаёт ему опции;
3. Клиент выбирает: выдача, 100 рублей
4. Банкомат шифрует ПИН-блок мастер-ключом;
5. Шифрует всё сообщение коммуникационным ключом и отправляет в FrontEnd;
6. FrontEnd получает сообщение;
7. по ID определяет банкомат (каждый банкомат подключается на свой собственный порт, так что ID получить проблем никаких);
8. Расшифровывает сообщение открытой компонентой коммуникационого ключа;
9. по БИН понимает, что карта наша;
10. Расшифровывает ПИН-блок открытой компонентой мастер-ключа;
11. Обрабатывает запрос на списание (есть ли деньги, не исчерпаны ли лимиты и всё такое прочее);
12. Зашифровывает сообщение открытой компонентой коммуникационого ключа;
13. Отправляет банкомату;
14. Банкомат расшифровывает сообщение;
15. Сообщает результат клиенту;
16. Уведомляет хост, что деньги выданы (так же с шифрованием и всем прочим).

Стоит отметить, что всё шифрование на стороне хоста осуществляется при помощи HSM.
То есть шаги 8 и 9 в деталях выглядят так:

1. Хост отправляет зашифрованный ПИН-блок, мастер-ключ и контрольную сумму на HSM;
2. HSM расшифровывает ПИН-блок;
3. Сверяет контрольную сумму после расшифровки с присланной;
4. Зашифровывает открытый ПИН-блок при помощи IWK и считает контрольную сумму;
5. Если контрольные суммы открытого ПИН-блока и зашифрованного IWK равны - ПИН введён верно.

Клиент получает свои 100 рублей и уходит довольный, однако это только половина дела.

В этот момент FrontEnd установил клиенту hold - заморозил на его лимите авторизации (доступная к снятию сумма) 100 рублей, но его текущий счёт никак не изменился.

Здесь стоит немного пояснить: в процессинге нет счетов клиентов - движение денег происходит по так называемым «лимитам авторизации». Фактически, лимит авторизации - не что иное, как карточный счёт клиента, но он никак не фигурирует в плане счетов и бухгалтерском балансе.

1. на лимит авторизации действуют лимиты процессинга: лимит на единоразовую выдачу, лимит на ежедневную выдачу и так далее;
2. лимит авторизации может изменяться в течение операционного дня, текущий счёт только в момент закрытия операционного дня.

Вечером текущего дня или утром следующего дня (но, как правило, это делается ночью) закрывается операционный день. Все авторизации карт и суммы холдов выгружаются из FrontEnd и загружаются в BackEnd, где и происходит движение денег по текущим счетам клиентов. После этого финальные отчёты выгружаются в Автоматизированную Банковскую Систему, где хранятся текущие счета клиентов. На основании этих отчётов происходит реальное движение денег, а также во FrontEnd - новые лимиты авторизации (наш клиент из примера выше получает новый лимит авторизации, который меньше на 100 рублей).

Теперь сложнее: Чужой клиент в нашем АТМ:

1. Клиент вставляет карту в АТМ;
2. АТМ понимает что клиент чужой, показывает ему только баланс и выдачу;
3. Клиент выбирает: выдача, 200 рублей
4. АТМ шифрует ПИН-блок мастер-ключом;
5. Шифрует сообщение коммуникационным ключом;
6. Отправляет сообщение на FrontEnd;
7. FrontEnd расшифровывает сообщение открытой компонентой коммуникационого ключа;
8. Определяет что БИН не наш и надо его отправить в VISA;
9. FrontEnd зашифровывает сообщение компонентой AWK (так как мы в данном случае эквайер) и отправляет в VISA;
10. VISA получает от нас сообщение, расшифровывает его второй компонентой нашего AWK и по БИНу определяет какого банка это карта;
11. Зашифровывает сообщение компонентой IWK (так как обращается к эмитенту) того банка, который выпустил эту карту и отправляет сообщение;
12. Банк-эмитент получает сообщение:
13. Расшифровывает сообщение при помощи закрытой компоненты IWK (тут сразу понятно что карта наша, БИН смотреть нет смысла);
14. Расшифровывает ПИН-блок;
15. Авторизует карту (даёт добро на выдачу 200 рублей);
16. Зашифровывает сообщение закрытой компонентой IWK и отправляет в VISA;
17. VISA расшифровывает открытой компонентой IWK банка-эмитента, зашифровывает открытой компонентой AWK нашего банка и отправляет нам;
18. Мы расшифровываем сообщение закрытой компонентой AWK;
19. Записываем результат транзакции;
20. Зашифровываем открытой компонентой коммуникационого ключа нужного банкомата и отправляем ему сообщение;
21. Банкомат получает сообщение, расшифровывает его и выдаёт клиенту деньги;
22. Уведомляет хост, что деньги выданы (опять же, шифрую все сообщения);
23. Мы уведомляем банк-эмитент, что деньги успешно выданы;

Это была только авторизация, то есть реальных денег никто никому не перечислил. Теперь нам надо получить финсообщение об этой транзакции и получить возмещение от другого банка: 200 рублей наших денег, которые мы выдали его клиенту.

1. Мы отправляем в VISA отчёт (оффлайном, медленно и печально) о том, что не наш клиент с номером карты таким-то получил 200 рублей в нашем банкомате;
2. VISA отправляет требование банку-эмитенту перечислить нам 200 рублей и ещё 0,5% от суммы транзакции, но не менее $3 самой VISA за то, что она провела транзакцию через себя. Это есть так называемый interchange fee;
3. Банк-эмитент получает файлы от VISA, закрывает свой операционный день в процессинге, потом закрывает день в Автоматизированной Банковской Системе и переводит через корр. банк VISA на наш счёт наших 200 рублей;
4. Рассчитывается с VISA (покрывает interchange fee)

Само собой, все такие расчёты осуществляются в долларах, и тут играет роль курсовая разница, но это уже совсем другая история…

UPD: В комментариях, товарищ

Процессинговый центр представляет собой программно-аппаратный комплекс, позволяющий эмитировать и обслуживать все операции с банковскими картами. Перед банками возникает вопрос: организовать собственный процессинговый центр или воспользоваться моделью аутсорсинга? И тот и другой варианты имеют как положительные, так и отрицательные стороны.

Рынок аутсорсинга

Спрос на аутсорсинг процессинга банковских карт увеличивается, считают эксперты. Рынок практически сформирован: известны его основные игроки, понятны услуги, которые они предоставляют, известна их стоимость и т. д. Услугами аутсорсинга на сегодняшний момент пользуются в основном средние и небольшие банки. Движение крупных кредитных организаций в направлении аутсорсинга еще несущественно. По мнению ряда специалистов, число независимых процессоров будет сокращаться, а качество их услуг и разнообразие функций - увеличиваться.

Другая интересная тенденция заключается в том, что на рынок вышли серьезные иностранные игроки. А это, в свою очередь, создает дополнительные предпосылки для перехода на аутсорсинг процессинговых услуг крупных российских банков. В США и Европе наиболее распространенной практикой является передача процессинга банковских карт на аутсорсинг. Западная идеология строится на том, что банковский бизнес - это одно, а процессинг - нечто иное. К примеру, во всей Европе на полмиллиарда карточек приходится около 70 процессинговых центров, причем как независимых, так и принадлежащих крупнейшим банкам-эмитентам наподобие британского Barclays.

По оценкам McKinsey, о рентабельности собственного процессинга в банке можно говорить, если среднегодовое количество обслуживаемых транзакций превысило 500 млн. Пока этот рубеж не достигнут, аутсорсинг процессинга - единственное экономически эффективное решение, считают представители Global Payments Russia. Эксперты компании утверждают, что многие западные финансовые организации отдают предпочтение затратам на профильный бизнес, т.е. на развитие собственно банковских продуктов и услуг. И с точки зрения западного банковского стратегического инвестора, ситуация, когда российский банк имеет собственный процессинговый центр, не способствует увеличению капитализации этого банка, а, наоборот, отрицательно влияет на его общую стоимость, подчеркивают эксперты Global Payments Russia. Имеющиеся на балансе нематериальные активы только усиливают неэффективность всего этого бизнеса.

Преимущества аутсорсинга

Эксперты называют несколько преимуществ аутсорсинговых схем. Во-первых, банки могут заниматься исключительно собственным бизнесом, о чем уже говорилось выше. Во-вторых, возникают дополнительные возможности для бизнеса. Часто случается так, что банки, выносящие функцию процессинга транзакций на аутсорсинг через одного аутсорсера, изобретают взаимовыгодные схемы ведения бизнеса. Например, банки, работающие через одного аутсорсера, могут объединить свои терминальные сети, при этом оказывать друг другу услуги на специальных более выгодных коммерческих условиях.

Третье преимущество аутсорсинга заключается в том, что банк может воспринимать и усваивать массу новой информации. Ведь постоянно появляется новое сложное оборудование, новые интерфейсы, протоколы, стандарты и т.д. В штате аутсорсера имеются специалисты, постоянно повышающие свою квалификацию, они всегда в курсе всех новинок. Банки, сотрудничающие с независимым процессором, не имеют проблем, связанных с апгрейдом технологических систем и приведением их в соответствие с изменяющимися требованиями карточных ассоциаций. За все это отвечает процессор.

Существующие службы круглосуточной поддержки держателей банковских карт процессинговых компаний всегда находятся в полном распоряжении клиентов банка.

С привлечением стороннего процессора значительно снижаются операционные риски и появляются определенные юридические гарантии. Ответственность третьей стороны выше ответственности собственных сотрудников банка. В случае аварии, ошибки, потери данных, некачественной конфигурации оборудования, повлекшей за собой взлом системы, или при наличии злого умысла заработная плата сотрудника вряд ли сможет компенсировать нанесенный банку ущерб. При заключении контракта на аутсорсинг аутсорсер несет юридическую и финансовую ответственность перед банком.

Еще одно преимущество аутсорсинга в том, что сертифицированные процессинговые центры компаний ежегодно проверяются международными платежными системами на соответствие правилам организации процесса выпуска и обслуживания карт, что свидетельствует о высоком уровне безопасности и наивысшей степени правильности построения данного технологического процесса.

Наконец, предлагаемые процессин-говыми компаниями технологические решения взаимодействия позволяют банкам при минимальных денежных затратах получить функционал, сравнимый с возможностями собственного процессингового центра.

Когда имидж сильнее экономии

Не вызывает сомнений, что передача функций процессингового центра сторонней компании серьезно увеличивает зависимость бизнеса банка от аут-сорсера. Поэтому выбор последнего должен осуществляться взвешенно, грамотно, объективно и желательно на тендерной основе. Более того, для проведения такого тендера следует нанять профессионалов из какой-нибудь консалтинговой компании. Они сумеют составить перечень, оформить требования банка к аутсорсерам и оценить, насколько аутсорсеры соответствуют предъявляемым требованиям. Необходимо правильно оформить договор на аутсорсинг, в котором ясно и четко была бы прописана ответственность аут-сорсера за качество оказываемых им услуг.

Почему, несмотря на мировую практику и достаточно показательные преимущества использования аутсор-синговых схем на российском рынке, доминирует процессинг in-house, т.е. банки предпочитают создавать собственные процессинговые центры?

Эксперты уже не один раз проводили подсчеты экономической оправданности перехода на собственный процессинг. Конечно, при каждом конкретном случае условия индивидуальны. И все же существуют некие средние цифровые показатели по таким проектам.

Так, реально обозримый срок окупаемости - три года. Количество эмитированных карт должно составлять 100-300 тыс. Число операций -100-120 тыс. в месяц. Терминальная сеть банка должна насчитывать 100-300 банкоматов.

Эксперты отмечают, что немаловажным (а может быть, и основным) фактором перехода на собственный процессинг являются амбиции кредитной организации. Банк, решаясь на подобный шаг, подчеркивает масштаб собственных проектов, уверенность в их реализуемости. Кредитная организация показывает как партнерам, так и конкурентам свои высокие технологические возможности.

Плюсы собственного процессинга

Специалисты называют несколько факторов, способствующих тому, что банки создают собственные процессинговые центры. Некоторые кредитные организации не хотят снижать степень контроля за ИТ-сопровождением своего бизнеса и по этой причине создают собственный процессинговый центр. Т.е. банку экономически выгоднее оставить процесс на аутсорсинге, но исходя из необходимости обеспечения контроля бизнеса кредитная организация создает собственный процессинг.

Компании, предоставляющие аутсорсинговые услуги, как правило, обслуживают сразу несколько клиентов. Можно предположить ситуацию, когда одновременно сразу всем клиентам аут-сорсера понадобится модернизация их систем или внедрение новых проектов. Понятно, что либо кому-то будет отказано в реализации их запросов, либо задержится срок исполнения заказа. Маловероятно, что компания-аутсорсер обладает такими ресурсами, которые способны в любой момент обслужить клиента в максимально сжатые сроки и при этом 90% времени не использоваться собственно по назначению. Это чрезвычайно дорого.

Услуги, предоставляемые аутсорсингом, нельзя назвать эксклюзивными. Существует теоретическая вероятность того, что если компания реализует какой-то новый проект, то возможность использования каких-то деталей и нюансов проекта становится доступна другим банкам, работающим через этого аутсорсера. Некоторые банки боятся потерять свою клиентскую базу, опасаются, что процессор раскроет третьей стороне данные об их клиентах.

Кредитные организации иногда бывают неудовлетворены качеством и функциональностью процессинговых услуг. Порой из-за медлительности персонала процессинговой компании, некомпетентности, излишней бюрократизации банк теряет качество и оперативность управления параметрами обслуживания клиентов, утрачивает контроль над качеством функционирования устройств: установки лимитов, блокировки карточек и т.п. И в этом также кроется причина отказа банка от услуг стороннего процессинга.