Расширение сферы эквайринга
advertisement
ПЛАТЕЖИ | ПЛАТФОРМЫ Расширение сферы эквайринга Безналичная оплата проезда — удобство в одной карте ТЕКСТ> МАКСИМ ЭММ, ИСПОЛНИТЕЛЬНЫЙ ДИРЕКТОР КОМПАНИИ PEAK SYSTEMS ДОСЬЕ.БО Максим Эмм в 1999 году окончил Ташкентский электротехнический институт связи. В 2006 году получил степень MBA в Калифорнийском государственном университете по направлению «Финансовый менеджмент». В 2001–2011 годах работал аналитиком департамента проектирования и консалтинга, заместителем директора, возглавлял департамент аудита в компании «Информзащита». C сентября 2011 года в составе холдинга ITG и компании Peak Systems возглавляет подразделение A4 Business. ТЕКСТ> ВЯЧЕСЛАВ МАКСИМОВ, ЗАМЕСТИТЕЛЬ ГЕНЕРАЛЬНОГО ДИРЕКТОРА КОМПАНИИ «АНДЭК» ПО НАПРАВЛЕНИЮ ОПТИМИЗАЦИИ ПРОЦЕССОВ УПРАВЛЕНИЯ ИБ ДОСЬЕ.БО Вячеслав Максимов закончил Московский инженернофизический институт; Академию народного хозяйства при Правительстве РФ, квалификация — мастер делового администрирования, специализация — информационный менеджмент. Работал в российском научном центре «Курчатовский институт» — системный администратор; в компании «БЮРОКРАТ» — начальник отдела ИБ; в ООО «Информационно-почтовая служба М-Сити» — начальник отдела ИБ; в ЗАО НИП «Информзащита» — проведение аудита и предоставление консультаций по безопасности данных платежных карт (PCI DSS), управления ИБ (СТО БР ИББС, ISO/IEC 27001:2005), обеспечения непрерывности бизнеса (BS 25999) и пр. А 4_ Transit — это система безналичной оплаты проезда на базе банковских технологий, при которой плата за проезд списывается непосредственно с банковской карты пассажира либо вычитается из предоплаченных поездок, записанных в специальном приложении, расположенном на банковской карте. С каждым годом все больше и больше людей используют банковские карты для оплаты покупок и услуг, потому что это быстро, безопасно и во многих случаях выгодно. Отдельным преимуществом использования данной системы является возможность организации перевозки пассажиров льготных категорий безналичным способом, что делает для органов социальной защиты данную статью затрат абсолютно прозрачной, а перевозчикам позволяет получать недополученную прибыль с перевозки льготных пассажиров в 2–3 раза быстрее, чем при наличных взаимоотношениях. Внедрение данной системы позволяет повысить комфортность использования общественного транспорта для пассажиров, так как отпадает нужда стоять в очередях для покупки билета. Оплата безналом избавляет от необходимости иметь при себе мелкие деньги. Использование A4_Transit для пассажиров состоит из очень простого алгоритма: пассажир, обладающий бесконтактной банковской картой или социальной картой льготного пассажира, просто прикладывают ее к валидатору, после чего информация поступает на бортовой компьютер. Далее информация об оплате поступает на наш сервер и распределяется в транспортную компанию, министерство транспорта и в банк. Кроме того, любой пассажир может зарегистрироваться в системе A4_Transit на сайте и выбрать удобный и целесообразный тариф билета, что позволит ему существенно сэкономить на поездках. Система позволяет исключить затраты транспортных компаний на эмиссию и продажу проездных билетов и карт, а также отказаться от затрат на инкассацию наличности. Так же система A4_Transit позволяет получать всю отчетность и первичные данные в режиме on-line, что исключает действия №1 (9)/I квартал 2014 BEST PRACTICE 55 ПЛАТЕЖИ | ПЛАТФОРМЫ недобросовестных контролеров. Для региона в целом внедрение системы позволяет увеличить собираемость доходов и сделать прозрачными расходы на проезд льготных пассажиров. Удобно равно безопасно Платежи банковскими картами позволят сделать использование транспорта более комфортным для всех участников транспортной цепочки. Это исключительный случай, когда за комфорт не нужно платить, а наоборот, можно экономить. Отказ от оплаты наличными даст возможность экономить время, а время — одна из самых дорогих и не восполняемых ценностей, которая у нас есть. Информация, которая обрабатывается в A4_Transit, является очень критичной, ведь по сути это живые деньги. Поэтому обеспечение безопасности Информация, которая обрабатывается в A4_Transit, является очень критичной, ведь по сути это живые деньги этой системы и информации в ней — крайне важная задача. Кроме того, защита этой информации регулируется многими законами и стандартами (например, PCI DSS, Федеральные законы РФ №152ФЗ «О персональных данных» и №161-ФЗ «О национальной платежной системе» и пр.), выдвигающими большое количество технических требований. Далеко не все эти требования легко выполнить без значительных дополнительных затрат, усложнения системы, снижения ее надежности или снижения ее удобства для пользователей. Так, например, из-за крайне нестабильного канала связи (обычный мобильный Интернет) между оборудованием, размещенным в автобусе, и серверной частью системы обеспечить шифрование трафика обычными мерами (например, SSL/TLS) практически невозможно — при слабой сотовой связи защищенное соединение просто не успеет установиться. Технически A4_Transit — достаточно сложная система, состоящая из большого числа различных аппаратных и программных компонентов — от терминала кондуктора и инфокиоска для пополнения транспортных карт до web-сервиса с личным кабинетом для каждого пассажира. Кроме того, система A4_Transit характеризуется еще и большим количеством разнообразных участников (транс- 56 BEST PRACTICE №1 (9)/I квартал 2014 портные компании, организаторы перевозок, банки-эквайеры и пр.), на каждого из которых законы и стандарты также возлагают обязательные требования по защите информации. Разработать такую архитектуру системы A4_Transit, которая минимизирует нагрузку по обеспечению безопасности на всех участников, было еще одной важнейшей задачей Peak Systems, от выполнения которой зависел успех всего решения. Понимая важность обеспечения безопасности, специалисты компании Peak Systems еще на стадии проектирования системы A4_Transit привлекли к работе специалистов нашей компании. После анализа предварительной архитектуры системы эксперты четко обозначили потоки критичной информации и предложили меры по сокращению мест обработки чувствительных данных. Это позволило не только сократить область применения обязательных требований, но и избежать ряда угроз информационной безопасности. Затем на основе анализа обязательных требований и выявленных рисков информационной безопасности, применимых к планируемой архитектуре системы, эксперты сформировали перечень необходимых защитных мер, определив в чьей области ответственности лежит исполнение каждой меры, а также как, когда и на каком уровне должна быть реализована мера: на аппаратном уровне; с помощью встроенных средств операционной системы; с помощью дополнительных средств защиты информации; за счет встраивания дополнительного функционала в программные компоненты системы или за счет внедрения организационных мер. Далее каждая мера была детализирована — в виде документированной процедуры, частного технического задания на разработку системы или технических требований к средству защиты информации. Это позволило организовать работу по обеспечению соответствия системы всем применимым требованиям законов и стандартов и достичь действительно серьезного уровня безопасности. Привлечение специалистов по безопасности на самой ранней стадии разработки системы позволило заранее подумать о местах и формах обработки информации и значительно сократить область применения внешних обязательных требований; включить защитные меры в функционал программных и аппаратных компонент системы; избежать использования дополнительных, навесных средств защиты и обеспечить безопасность решения без потерь в удобстве его использования. Б.О
