114
CTL User’s Group 2002: место встречи изменить нельзя
Всоответствии с темой нынешней конференции – “Стратегии успеха” (Winning Strategies) – особое внимание в ходе мероприятия было уделено вопросам стратегического планирования карточных проектов, их реализации и внедрения новых продуктов и услуг в соответствии с требованиями международных платежных систем. Кроме того, в ходе проведения конференции участникам и делегатам были представлены наиболее интересные и актуальные примеры реализации банками своей карточной стратегии.
В рамках конференции состоялись выступления представителей компании CTL, экспертов платежных систем MasterCard International, Visa International, American Express, специалистов одного из крупнейших международных эмитентов пластиковых карт – Barclaycard International, – а также ряда других участников карточного рынка.
Среди последних можно отметить представителей банков России, Украины и ряда других стран СНГ, которые используют продукты Card Tech Ltd. PRIME & ONLINE в своих процессинговых центрах: ПриватБанк, Московский Международный Банк, Западно-Сибирский коммерческий банк, “Банк Славянский”, Национальный Банк Узбекистана и др.
Рецепт успеха CTL как поставщика технологий
Особый интерес участников конференции вызвал доклад управляющего директора компании CTL Джаффара Агха-Джаффара (Jaffar Agha-Jaffar) “Стратегии успеха и развития” (Success and Future Strategies).
В своем выступлении он отметил, что рост количества новых клиентов и заказчиков за последние годы вывел CTL на более высокий уровень в мировых рейтингах поставщиков процессинговых решений, что послужило поводом для проведения реструктуризации компании. Изменения, произошедшие в структуре компании, позволили ей более качественно, оперативно и своевременно обслуживать клиентов в любом регионе мира, проводить дальнейшие исследования и разрабатывать новые продукты.
Среди основных достижений компании в 2002 г. Д. Агха-Джаффар выделил: сертификацию и использование решений CTL в первом проекте по эмиссии и эквайрингу карт VSDC на Ближнем Востоке (National Bank of Dubai), присвоение программным продуктам CTL первого в мире сертификата AMEX Globe Authorization и ACS for Visa/MC compliant 3-D Secure, участие в проекте Visa International по внедрению предоплаченных карточных продуктов Visa, а также партнерство с MasterCard International в области распространения Commercial Cards.
Параллельно с этим в 2002 г. CTL уделяла большое внимание как расширению функциональности существующих продуктов PRIME/ONLINE, так и созданию новых решений и технологий. Так, например, в нынешнем году компания вышла на рынок с новой версией своего продукта PRIME (Card Management System). Специалистами CTL было проведено успешное тестирование решений PRIME/ONLINE при объеме клиентской базы более 5 млн. карт, подтвержденное аудиторским отчетом компании PricewaterhouseCoopers
Кроме того, в 2002 г. линейка решений CTL пополнилась несколькими новыми программными продуктами, среди которых можно выделить менеджер банкоматов CTL ATM Controller, систему мониторинга мошеннических операций с пластиковыми картами CTL FRAUDGUARD, а также решение в области e-commerce SENTRY, поддерживающее протокол 3-D Secure.
Проблемы безопасности карточных операций
В ходе конференции большое внимание было уделено и вопросам безопасности карточных проектов. Так, перед участниками мероприятия с докладом выступил ведущий специалист по управлению рисками Visa International в регионе СЕМЕА Джейсон Харви (Jason Harvey).
В своем выступлении Д. Харви привел показатели роста незаконных операций с картами. Так, в 2000 г. совокупные потери участников карточного рынка от мошеннических операций составили 2,1 млрд. долларов США. При этом по сравнению с прошлым годом данный показатель вырос почти на 52%.
Правила, используемые в работе FRAUDGUARD, основываются на двух критериях, которые определяет сам пользователь. При этом более сложные способы мошенничества могут быть описаны с указанием большего числа критериев.
Д. Харви отметил, что для обеспечения необходимого уровня безопасности карточных транзакций банкам и процессинговым компаниям необходимо создать эффективную систему, включающую в себя элементы криптографической защиты и менеджмента криптографических ключей, средства физической защиты, меры по обеспечению информационной безопасности, проверку кадров банка, проведение обучения держателей карт и мерчантов, средства мониторинга транзакций и т. д.
Как отметил Д. Харви, в последнее время широкое развитие получили способы мошенничества, связанные с подделкой карт (counterfeiting). В связи с этим банкам настоятельно рекомендуется использовать дополнительные методы защиты карты от подделки. Среди таких способов защиты он выделил нанесение на карту фотографии и имиджа подписи держателя карты, генерацию одноразовых ПИН-кодов для аутентификации карты, использование CVV/CVC и CVV2/CVC2, проверку соответствия имени банка и префикса, а также ряд других.
Вопрос обеспечения безопасности карточных платежей стал одной из наиболее обсуждаемых тем на CTL User’s Group 2002. Об актуальности данной проблемы может свидетельствовать хотя бы тот факт, что в ходе конференции участникам были представлены сразу два новых решения CTL в сфере карточной безопасности: SENTRY и FRAUDGUARD.
SENTRY на страже электронных транзакций
Проблема безопасного использования банковских карт при проведении платежей в области электронной коммерции становится все более актуальной как для банков и процессинговых компаний, так и для международных платежных систем.
Поэтому продемонстрированное специалистами CTL новое решение по обеспечению безопасности карточных транзакций в системах электронной коммерции, получившее название SENTRY, не случайно вызвало повышенный интерес участников мероприятия. Данный продукт состоит из нескольких функциональных элементов: электронного кошелька (electronic wallet), прокси-карты (proxy cards) и средства аутентификации. Основной функцией электронного кошелька, разработанного специалистами CTL, является хранение конфиденциальных данных держателей карт, таких как реквизиты банковской карты, информация, необходимая для доставки купленного товара (имя и адрес покупателя), и т. д. Используя данное приложение, пользователь может автоматически заполнить поля регистрационной формы при оформлении заказа на сайте Интернет-магазина.
Электронный кошелек CTL является серверным приложением, работающим по схеме “тонкий клиент”. Благодаря этой функциональной особенности пользователь может получить доступ к приложению с любого компьютера. Так, для идентификации на специализированном сервере, где установлен интерфейс электронного кошелька, ему необходимо ввести лишь свое имя и пароль.
Другое функциональное приложение позволяет пользователю сгенерировать уникальный номер проксикарты для совершения разовой Интернет-транзакции. При этом номер прокси-карты пользователя никак не связан с его реальным карточным счетом, что позволяет ему избежать передачи конфиденциальной информации по Сети. Реквизиты традиционной банковской карты в этом случае доступны только банку-эмитенту. Генерация номера прокси-карты происходит при помощи специального интерфейса, установленного на сервере банка или процессинговой компании. Кроме того, использование приложения электронного кошелька позволит пользователю автоматически вводить номер прокси-карты в регистрационную форму на сайте Интернет-магазина.
Средства аутентификации, входящие в состав решения SENTRY, позволяют эмитенту и эквайеру организовать эффективную систему подтверждения личности держателя карты. Данное приложение основано на использовании спецификаций Visa 3-D Secure и MasterCard Secure Payment Application. Следует отметить, что SENTRY стало первым и единственным в мире решением, сертифицированным на совместимость с протоколом Visa 3-D Secure version 1.0.2.
Система мониторинга карточных транзакций FRAUDGUARD
В рамках конференции была проведена также презентация нового решения CTL FRAUDGUARD, позволяющего банку или процессинговой компании организовать систему мониторинга карточных транзакций.
Отличительной чертой данного программного комплекса является его максимальная адаптивность под особенности конкретного пользователя. Функциональная часть FRAUDGUARD основывается на использовании технологии Rule Based Technology (RBT). Так, при инсталляции программного решения пользователь вводит в базу данных FRAUDGUARD некоторые правила, комбинируя которые, он получает возможность моделировать практически бесконечное число уникальных ситуаций, характерных для определенного вида мошенничества.
Правила, используемые в работе FRAUDGUARD, основываются на двух критериях, которые определяет сам пользователь. Так, например, создавая новые правила, специалист отдела карточной безопасности устанавливает условие (критерий “if”), характеризующее мошенническую операцию, и действия системы, которые должны последовать после обнаружения данного условия (критерий “then”). При этом более сложные способы мошенничества могут быть описаны с указанием большего числа критериев. После определения набора правил FRAUDGUARD самостоятельно проводит мониторинг поступающих транзакций.
В качестве примера можно рассмотреть один из наиболее простых вариантов комбинации двух критериев, описывающих подозрительную карточную транзакцию. Так, пользователь задает критерии: “средняя сумма по транзакции превысила заданный порог на 20%” и “карты VISA Gold”. Далее, объединяя два этих критерия, пользователь создает режим мониторинга, при котором FRAUDGUARD будет отслеживать все случаи превышения средней суммы транзакции по картам Visa Gold на 20%.
Основной функцией электронного кошелька, разработанного специалистами CTL, является хранение конфиденциальных данных держателей карт, таких как реквизиты банковской карты и т.д.
Следует отметить, что скорость “обучения” и эффективность работы системы напрямую зависят от того, насколько быстро и правильно специалисты службы карточной безопасности смогут сформировать и ввести набор правил, необходимых для описания всех возможных способов проведения мошеннических транзакций. Хотя в состав базового пакета FRAUDGUARD входит общий стандартный набор правил международных платежных систем, адаптация системы мониторинга происходит только при добавлении в базы данных новых правил, индивидуальных для конкретного пользователя.
FRAUDGUARD имеет специализированный интерфейс обмена информацией с большинством бэк-офисных систем, что позволяет ему осуществлять мониторинг транзакций как в пакетном режиме, так и в режиме реального времени. В первом случае информация о транзакциях накапливается в очереди и обрабатывается с определенной временной периодичностью. Режим работы в реальном времени подразумевает практически мгновенную обработку поступивших транзакций.
При обнаружении подозрительной транзакции FRAUDGUARD посылает сигнал специалисту отдела карточной безопасности или другому оператору, указанному в регистре программного комплекса. При этом, если в конкретном правиле пользователь указал необходимость заблокировать карту, по которой была проведена подозрительная транзакция, FRAUDGUARD может самостоятельно послать соответствующее распоряжение в бэк-офис банка.
В данный момент решение FRAUDGUARD уже используется в процессинговом центре CTL в Лондоне для обслуживания более 10 банков, реализуются проекты в Citibank (Польша), Al Rajhi Bank (OAЭ), подписан договор о запуске в промышленную эксплуатацию данного продукта с Московским Международным Банком.
Ежегодные конференции CTL User’s Group давно уже стали традиционным местом встречи пользователей решений CTL, представителей банков, платежных систем и других специалистов мирового карточного рынка. Как и в прошлые годы, в рамках нынешнего, юбилейного мероприятия функционировали дискуссионные группы, на которых участники конференции обсуждали актуальные вопросы функционирования рынка и делились опытом реализации карточных проектов. По словам самих организаторов конференции, основной целью ее проведения является обмен опытом между специалистами в области карточного бизнеса и консолидация их усилий при решении проблем, общих для всей отрасли платежных технологий.
Полный текст статьи читайте в журнале «ПЛАС» № 10 (80) ’2002 стр. 45
