Процессинговый центр банка

Есть два разных варианта по решению этого вопроса: воспользоваться внешним ресурсом или построить свой процессинговый центр.

Процессинг операций с картами — такие сервисы, как маршрутизация авторизационных запросов, авторизация операций по картам, управление устройствами банков (эквайринг), обработка расчетных данных, поступающих из платежных систем.

Существует достаточно фирм, которые предоставляют банкам услуги по процессированию операций и персонализации банковских карт. Обобщенно такие фирмы называются MSP (Member Service Provider).

Услуги персонализации карт не являются сервисами процессинга, это совершенно иная область банковской деятельности. Как правило, MSP также предоставляют и услуги по персонализации карт и генерации секретных величин для них, в том числе ПИН, но не всегда — существует немало MSP, осуществляющих только услуги процессинга, без персонализации. Если вендор предоставляет и услуги персонализации, то он имеет статус TPP (Third Party Personalizer, независимый персонализатор).

Если перед сотрудниками банка стоит задача максимально быстрого выхода на рынок услуг по пластиковым картам, то в 99% случаев делается выбор в пользу принятия услуг стороннего процессинга, и этот выбор вполне разумен и оправдан. Следует особо подчеркнуть, что такое решение разумно именно на начальных стадиях проекта. Ниже будут приведены аргументы в пользу этого выбора.

Преимущества аутсорсинга

Если некое юридическое лицо позиционирует себя на рынке как вендор процессинговых услуг, то это автоматически подразумевает наличие у данной фирмы сертификатов от международных платежных систем (МПС) на осуществление соответствующих видов деятельности (авторизация, управление устройствами, маршрутизация запросов, предоставление расчетной информации). На веб-сайтах МПС (Visa, MasterCard) всегда можно найти список сертифицированных поставщиков услуг (процессинг и (или) персонализация карт).

Таким образом, если банк в начале своей деятельности принял решение использовать услуги сторонней фирмы для процессинга операций, ему предстоит лишь осуществить выбор из списка сертифицированных вендоров, анализируя финансовые (стоимость услуг вендора) и географические (удаленность, разница часовых поясов и пр.) параметры.

Стоит отметить, что правила МПС не запрещают использовать услуги вендоров, имеющих иную юрисдикцию, чем банк-эмитент или эквайрер, то есть поставщик процессинговых услуг может располагаться в любой точке планеты. Более того, теоретически можно использовать одного вендора для онлайн (авторизационных) сервисов и другого для получения расчетной информации.

После того как банк определился с выбором MSP, проанализировав имеющиеся на рынке предложения, все остальное сделать несложно: необходимо лишь подписать типовые договоры (как правило, сертифицированные вендоры имеют готовые шаблоны), настроить каналы обмена информацией (в обеспечение надежной защиты передаваемых данных, таких как номера карт и иные конфиденциальные сведения), адаптировать под свои нужды типовые шаблоны клиентских договоров, заказать тираж карт, и можно приступать к эмиссии!

В случае принятия такого решения банк-эмитент экономит такой важный, невосполнимый ресурс, как время. В дополнение к вышесказанному следует отметить существенную экономию финансов, в том числе и на тех затратах, структура которых будет детально прописана ниже.

Построение собственного (In-House) процессингового центра

Рассмотрим наиболее важные аспекты построения собственного процессингового центра.

Если банк решает изначально, то есть до начала эмиссии карт, строить собственный процессинговый центр, ему приходится сталкиваться со следующими типовыми вопросами и задачами:

1. выбор поставщика ПО. В настоящее время на рынке предлагается довольно много решений, также сертифицированных МПС, пригодных для построения процессинговых центров. Соответственно, с этой проблемой связаны такие аспекты, как организация и проведение тендера, согласование договоров, формирование бюджета и пр.;
2. выбор решения для размещения программно-аппаратных комплексов (ПАК): на собственной территории или опять же на площадях аутсорсера (например, центра обработки данных — ЦОД);
3. решения в области защиты информации (обеспечение соответствия требованиям PCI DSS, федеральных законов, построение систем защищенного документооборота — СЗДО);
4. построение договорных и рабочих отношений с поставщиками смежных услуг (например, курьерскими службами и (или) шлюзами рассылки СМС);
5. закупка серверного ПО, аппаратного обеспечения (hardware, т.е. системных блоков, ОЗУ, жестких дисков, источников бесперебойного питания, резервных комплектующих и пр.);
6. оплата лицензионных сборов поставщиков ПО (систем баз данных — БД (Oracle), серверных операционных систем (OS) — Windows, Red Hat, иных возможных);
7. закупка криптографического оборудования (например, Host Security Modules (HSM), которые необходимы для генерации и корректной обработки операций по криптографическим величинам, таким как CVV, CVC, PVV) и связанная с этим оплата лицензий ФСБ;
8. построение системы контроля доступа (СКД) в помещения процессингового центра, организация мониторинга доступа, разработка и имплементация процедур работы в зонах повышенной безопасности (т.н. High Security Zone/Area);
9. разработка, согласование и внедрение процедур для корректной работы с криптографическим оборудованием и величинами, а также выпуск внутренних нормативных документов, регулирующих вопросы работы офицеров безопасности (security officers);
10. наем на работу и организация рабочих мест для штата дорогостоящих специалистов: DBA (database administrator), системных администраторов, инженеров, службы круглосуточной поддержки и центра авторизации. В этом же пункте стоит оговорить неизбежные сопутствующие проблемы такого рода, как разработка и утверждение штатного расписания, должностных инструкций, проведение собеседований, отбор кандидатов, формирование ФОТ и пр.;
11. организация, сертификация и поддержка основных и резервных каналов реального времени (авторизационный сервис) и файлового обмена (FTP);
12. закупка, внедрение и периодическая проверка каналов резервного питания (например, дизель-генератора определенной мощности, позволяющего процессинговому центру проработать автономно в течение 48 часов при отсутствии внешнего электрического питания).

Наиболее распространенный вариант (комбинированный)

Как правило, на начальных стадиях работы с банковскими картами эмитенты предпочитают использовать набор услуг уже существующих и надежно зарекомендовавших себя вендоров процессинговых услуг. Такой подход вполне оправдан и позволяет одновременно решить несколько проблем, а именно:

• осуществить быстрый и успешный старт проекта;
• понять все потенциальные проблемы и подводные камни этого рынка;
• разработать собственные продукты и процедуры, базируясь на предлагаемых вендором типовых вариантах;
• существенно сэкономить на инвестициях на начальном этапе построения собственной клиентской базы (как по эмиссии, так и по эквайрингу);
• не проходить сертификацию подключения и связанные с ней проверки со стороны МПС;
• заключить договоры с прочими банками, обслуживающимися через тот же процессинговый центр, о взаимном предоставлении услуг на льготных условиях (например, пониженная комиссия по операциям в сети АТМ, ПВН и иных устройств).

Одновременно у данного варианта (использование услуг внешнего процессора) есть и ощутимые отрицательные моменты, например:

• отсутствие оперативности при решении срочных проблем. Как правило, вендоры предоставляют своим клиентам возможность удаленного доступа к фронтальному ПО либо принимают заявки на исполнение тех или иных поручений по СЗДО. В договоре прописываются сроки реагирования, которые могут составлять от нескольких часов до нескольких рабочих дней в зависимости от статуса инцидента. Следует также всегда учитывать разницу шкал времени, которая может иметь место при значительной географической удаленности банка и процессингового центра;
• отсутствие гибкости при настройке продуктов банка — как по эмиссии, так и по эквайрингу;
• более низкий уровень конфиденциальности клиентских данных, так как при аутсорсинге процессинга значительная часть персональных данных хранится на емкостях внешнего процессора (например, номера карт, номера контактных телефонов держателей, их Ф.И.О., паспортные и иные данные, необходимые для идентификации клиентов);
• работа с МПС не напрямую, а опосредованно — зачастую вендоры присылают своим банкам-клиентам данные (по авторизациям и с расчетной информацией из клиринга) не в форматах МПС, а на собственном диалекте, в значительно меньшем объеме, чем оригинальные данные.

Как показывает опыт, именно комбинация обоих вариантов является в подавляющем большинстве случаев наиболее правильным решением. Обычно банки начинают с эмиссии карт, набирают собственную клиентскую базу и параллельно (не всегда) разворачивают сеть банкоматов и пунктов выдачи наличных (ПВН), как правило в своих дополнительных офисах и отделениях (филиалах).

По мере роста числа карт в базе процессингового центра возрастают и операционные расходы на ее обслуживание, зачастую зависящие не только от числа фактических операций (авторизационные запросы плюс финансовые данные), но и от общего числа карт эмитента в базе данных процессора.

Как только число карт превышает 50 тыс., ежемесячные прямые затраты эмитентов становятся сопоставимы с величинами, которые этот же банк тратил бы, имея свой собственный процессинговый центр со всеми необходимыми специалистами и оборудованием. Как правило, именно в этот период подавляющее большинство эмитентов начинают задумываться об отказе от услуг внешнего процессора и переводе всех сервисов на собственные мощности (in-house processing).

Однако вопрос перевода всех существующих данных с аутсорсинга на инхаус весьма сложен, и для его решения требуется множество ресурсов, в том числе и время (как правило, не менее полугода), поскольку любое изменение в конфигурации подключения банка к сетям МПС требует так называемой сертификации или имплементации, что само по себе является весьма сложной с точки зрения технологии и документооборота процедурой.

Мнение банкиров

50 — 60 тыс. карт — тот порог, после которого следует решать, «как жить дальше»: развиваться с партнером или создавать свой процессинговый центр. Без формирования в банке квалифицированной команды единомышленников создавать свой процессинговый центр бессмысленно.

Потребуется решить множество вопросов: от стратегических — «как строить процессинг» — до выбора поставщиков оборудования и ПО. Естественно, вендоры будут рекламировать свое решение как наиболее «продвинутое» и подходящее конкретному банку, но стоимость лицензий и поддержки может отличаться если не на порядки, то в разы. Существенное влияние на выбор поставщика будет оказывать выбранная модель развития:

1. Максимально все возможное делает команда самого банка, которая нанимает дорогих, квалифицированных специалистов, пытается разобраться во всем, вплоть до кодов, делает свой высококонкурентный продукт «с изюминками, которых нет ни у кого», требует от вендора максимальной открытости.
2. Банк частично использует аутсорсинг и (или) аутстафф вендора, ставит ему задачи по созданию «кубиков» для построения системы, контролирует выполнение, балансирует между минимизацией расходов на свой штат и оплатой услуг вендора.
3. Банк делает ставку на «коробочные решения». Максимально использует аутсорсинг, сохраняет за собой постановку задач, формирование требований. Платит серьезные суммы за поддержку и лицензии. Собственный персонал ориентирует на поддержку и формирование заявок вендору.

Выбор модели позволит сузить количество потенциальных поставщиков, осознанно подойти к набору персонала и выбору «железа». Но в любом случае без продуманной постановки бизнес-задачи, правильной оценки динамики объемов эмиссии и эквайринга на два-три года и, главное, грамотной и мотивированной команды эффективность расходов на создание собственного процессингового центра может быть нулевой.

Некоторые руководители IT-служб ошибочно считают, что можно в любой момент набрать квалифицированных сотрудников и быстро создать процессинговый центр, широко используя аутсорсинг. В карточном бизнесе это не так. Здесь личность и квалификация лидера и нескольких ключевых сотрудников играют определяющую роль в успехе реализации проекта.

Тем не менее при наличии у банка солидной клиентской базы и хотя бы базового опыта обработки операций с платежными картами внедрение собственного процессинга позволяет получить немало важных преимуществ, среди которых:

• более быстрая и гибкая реализация практически любых допустимых с точки зрения регуляторов карточных продуктов;
• мгновенная оперативность при блокировке/разблокировке карт, смене их статуса;
• самостоятельное ведение претензионной работы;
• возможность снятия блокировок по операциям, которые были успешно авторизованы, но так и не подтверждены финансово со стороны эквайреров (процедура «снятия холдов» (от англ. hold — задержка, удержание));
• уменьшение числа партнеров банка (отсутствие необходимости поддержания бизнес-отношений с внешним процессинговым центром);
• возможность самостоятельно управлять устройствами в терминальной сети банка, внедрение более сложных схем и сценариев обработки событий в них;
• получение большего дохода по комиссиям взаиморасчетов (interchange fees) и по договорам эквайринга.

Карточный бизнес является одним из самых сложных и интересных в банковском деле, поскольку одновременно регулируется документами нескольких инстанций: нормативными документами Банка России, правилами международных платежных систем, международными стандартами ISO и пр.

Работа с картами всегда означает необходимость привлекать дорогие ресурсы, в том числе и людские — высококлассных специалистов, предложение услуг которых на рынке труда всегда ограниченно. Успех достигается лишь при грамотном планировании всех аспектов деятельности этого направления, и одним из важнейших залогов успеха является адекватное применение услуг процессингового центра.

Каждый участник данного рынка самостоятельно сопоставляет имеющиеся на рынке возможности в области услуг процессинга со своими бизнес-требованиями и делает выбор, исходя из ситуации.