Технологія роботи банківської платіжної системи

Размещено на http://www.allbest.ru/

Реферат

На тему

Технологія роботи банківської платіжної системи

1. Вступ банку до системи

Процедура вступу банку до системи виконується в три етапи:

- отримання дозволу на участь у системі від розрахункового банку:

1) отримання дозволу на емісію гаманця та/чи чека;

2) отримання унікального код;/ банку (у розрахунковому банку) у національній системі (буде використовуватись під час обміну між ГПЦ та розрахунковим банком, для ідентифікації інформації з нетто-позиціями учасників);

3) відкриття відповідних рахунків у розрахунковому банку;

4) занесення інформації про нового учасника у БД ГПЦ відповідно дозволу від розрахункового банку:

5) виділення новому учаснику унікального ідентифікаційного номера в системі (ID_ISSUER), унікального ідентифікаційного номеру ПУЛу в системі (ID_POOL);

6) присвоєння статусу банку в таблицях ГПЦ та РПЦ - "тестування";

7) укладення договору на установку та тестування системи;

8) проведення тестування системи та навчання персоналу;

- включення банку в систему:

1) зміна статусу банку в ГПЦ на "діючий";

2) передача до системи банку списків учасників.

2. Замовлення та виготовлення карток

Підготовка карток до використання їх у системі відбувається по наступній схемі:

- формування замовником (банком) карток заявки на картки до ГПЦ;

- затвердження заявки в ГПЦ;

- відправка замовником копій затверджених в ГПЦ заявок до виробника карток (згідно підписаного договору між виробником га банком) та центру системної ініціалізації через ГПЦ;

- виробництво карток згідно відповідної заявки, та транспортування їх до центру системної ініціалізації;

- системна ініціалізація карток згідно відповідних заявок, та відправка їх до центру системної персоналізації:

- системна персоналізація карток згідно відповідної заявки, видача їх замовнику згідно відповідної заявки, та відправка до ГПЦ інформації про персоналізовані картки;

- персоналізація та персоніфікація карток у замовника;

- надсилання банком інформації до РПЦ та ГПЦ про введені в дію відповідні картки.

2.1 Ініціалізація карток

Процедура ініціалізації карток виконується під керуванням апаратного швидкісного модуля безпеки (HSM) центру ініціалізації в такій послідовності:

- за допомогою транспортного ключа знімається блокування картки;

- завантажується образ картки. Образ картки визначає тип картки, та включає такі параметри:

1) унікальний номер картки в системі;

2) ідентифікаційні параметри банку, для якого виготовляється картка;

3) дату ініціалізації картки та термін дії картки;

4) завантажуються транспортні ключі для розблокування картки в центрі системної персоналізації та в центрі банківської персоналізації.

2.2 Системна персоналізація карток

Процедура системної персоналізації виконується під керуванням HSM центру системної персоналізації в такій послідовності:

- знімається транспортне блокування картки;

- завантажуються шість версій системних ключів:

1) ключі платежу;

2) ключі завантаження;

3) прямого платежу (on-line).

2.3 Банківська персоналізація

Процедура банківської персоналізації виконується під керуванням HSM серверу БД банку в такій послідовності:

- знімається транспортне блокування картки;

- завантажуються банківські ключі:

1) ключі платежу (шість версій);

2) ключі завантаження (шість версій);

3) прямого платежу (on-line) (шість версій);

4) ключі поновлення параметрів картки;

5) ключ розблокування картки;

6) ключ розблокування ПІНів;

- унікальні банківські номери платіжних інструментів;

- дати персоналізації та активації платіжних інструментів.

2.4 Персоніфікація картки

Процедура банківської персоніфікації (прив'язка до рахунку та видача картки клієнту) виконується під керуванням HSM серверу БД банку. При цьому в картку заносяться такі параметри:

- ідентифікаційний номер платника податків;

- тип картки - корпоративна чи клієнтська;

- термін дії інструментів;

- відповідно до договору:

1) ознака дозволу виконувати прямі платежі;

2) ліміти завантаження та платежів;

- клієнт вводить ПІНи платежу та завантаження.

3. Операції з картками

3.1 Завантаження карток

Завантаження карток в системі виконується в on-line до банку емітента. Операція завантаження з рахунку може відбуватись без участі банківських працівників (з таксофону, банкомату та терміналу, що не обслуговується). Завантаження готівкою, виконується обов'язково за участю касира банку, з реєстрацією в базі даних банка еквайєра.

Процедура завантаження виконується в такій послідовності:

- аутентифікація касира (для завантаження готівкою) до банку-еквайєра;

- перевірка карткою ПІНа завантаження (вводить клієнт);

- авторизація операції завантаження картки клієнта до банка-емітента (перевірка картки по "стоп-листу", перевірка наявності коштів на рахунку клієнта для виконання цієї операції);

- завантаження картки.

3.2 Платіж та видача готівки електронним чеком

Платіж виконується на автономному терміналі (без on-line).

- платіж чеком завжди потребує вводу ПІНа клієнта;

- термінал перевіряє картку по "стоп-листу" та "зеленому листу банків емітентів";

- МБТ аутентифікує картку і дозволяє виконати платіж;

- картка та МБТ контролюють суму платежу по лімітам. При перебільшенні лімітів платіж не виконується;

- транзакція платежу (підписана карткою та МБТ) друкується на паперовому чеку та зберігається в терміналі у вигляді одиночної транзакції.

Якщо транзакція не завершена успішно (пропав контакт, пропало живлення), то в картці та в терміналі встановлюються признаки незавершеного платежу.

3.3 Платіж електронним гаманцем

Платіж виконується на автономному терміналі (без on-line).

- платіж гаманцем, як правило (якщо не перевищений ліміт безПІНового платежу), не потребує вводу ПІНа клієнта;

- термінал перевіряє картку по "стоп-листу";

- MБT перевіряє картку по таблиці банків дозволених до роботи з гаманцем (ВАТ), та аутентифікує картку і дозволяє виконати платіж;

- картка та МБТ контролюють суму платежу по лімітам. При перевищенні лімітів одиночного платежу видається запит ПІНа клієнта;

- транзакція платежу (підписана карткою та МБТ) друкується на касовому чеку. Вибірково транзакції платежу зберігаються в терміналі у вигляді одиночних, фінансова інформація про платежі накопичується в МБТ.

Якщо транзакція не завершена успішно (пропав контакт, пропало живлення), то в картці та в терміналі встановлюються признаки незавершеного платежу. картка банківський готівка чек

3.4 Отримання готівки за допомогою електронного гаманця

Отримання готівки за допомогою гаманця виконується за правилами платежу чеком:

- обов'язковий запит ПІНа;

- запис всіх транзакцій, як одиночних;

- сума платежу в пулі МТБ не накопичується.

4. Спеціальні операції

4.1 Відновлення незавершеного платежу

Якщо платіж був не завершений (пропало живлення терміналу, картка була витягнута до завершення платежу та інше), то в платіжній картці та в МБТ зберігається інформація про незавершений платіж. Ця інформація використовується для:

- відновлення платежу спеціальною процедурою на тому ж терміналі;

- передачі в банк-емітент для розбору та повернення коштів клієнту чи комерсанту.

Відновлення платежу виконується тільки на тому ж терміналі, що і платіж. Ні картка ні термінал не повинні виконувати інші платежі до процедури відновлення. МТБ перевіряє свій журнал та журнал картки. і якщо платіж може бути завершений, дає дозвіл на його завершення. Транзакція обов'язково зберігається в терміналі з поміткою, що відбувалась процедура відновлення платежу.

4.2 Блокування платіжної картки

Картка може бути заблокована:

- при платежі та завантаженні, якщо вона знаходиться в "стоп-листі" термінала;

- при запиті суми на рахунку, якщо вона знаходиться в "стоп-листі" банку-емітента;

- при завантаженні, якщо вона знаходиться в "стоп-листі" банку-емітента;

- при виконанні прямого платежу, якщо вона знаходиться в "стоп-листі" банку-емітента;

При блокуванні картки термінал зберігає підписану на ключах системи та банку-емітента інформацію про залишки балансів платіжних інструментів. Ця інформація використовується для повернені коштів клієнту, та зняття картки з стоп-листів терміналів. Заблокована картка не може виконувати фінансових операцій до розблокування. Розблокування можливе тільки в банку емітенті картки.

4.3 Банківські нефінансові процедури

Деякі нефінансові операції з картками виконуються тільки на спеціальному АРМі в банку емітенті за допомогою HSM серверу баз даних. Інформація про виконання процедури та про службовця, що виконав її, фіксується в базі даних (БД) банку.

- розблокування заблокованої картки;

- поновлення терміну дії платіжного інструмента;

- розблокування ПІНів платіжного інструмента;

- поновлення лімітів платіжного інструмента.

5. Збір та обробка інформації

Для проведення розрахунків кожен банк має отримати інформацію по здійсненим операціям. Ця інформація накопичується двома шляхами: для операцій завантаження - під час операції, для всіх інших операцій - під час збору.

Збір транзакцій з терміналів здійснюється за допомогою:

* або трансферних карток (тільки для платіжних терміналів у торговців),

* або у режимі on-line:

1) по комутованим лініям для платіжних терміналів

2) по комутованим чи виділеним лініям, або RS-232 для банківських терміналів, банкоматів та трансферних терміналів.

Транзакції, що вміщуються на трансферну картку платіжним терміналом, повинні попасти з неї до банківської системи еквайєру. Ця операція здійснюється трансферним терміналом, який може бути поєднаним з банківським терміналом.

Під час збору термінал пересилає:

* всі платіжні транзакції, здійснені електронними чеками

* стан всіх накопичених пулів (до яких додаються суми всіх транзакцій електронним гаманцем окремо по кожному банку)

* окремі транзакції електронних гаманців (лише для контролю), а також

* журнали карток (у випадку переривання транзакцій) по транзакціях платежів та завантаження.

До терміналу пересилається:

* підтвердження отримання, перевірки та обробки надісланих транзакцій

* зміни переліку банків - учасників системи

* зміни стоп-листа

* зміни параметрів терміналів (при необхідності)

Отримані транзакції перевіряються, результати перевірки повертаються терміналу та передаються до бази даних еквайєру.

Транзакції між клієнтами та комерсантами одного банку лишаються в банківській системі, а транзакції клієнтів інших банків передаються до процесингових центрів.

Процесингові центри лишають в себе копії транзакцій та, в свою чергу, пересилають їх емітентам. Емітенти перевіряють транзакції і пересилають процесингу (та еквайеру) інформацію про неакцептовані транзакції.

Після завершення сеансів обміну (відповідно до Регламенту системи) починаються взаєморозрахунки. Збір платіжної інформації та взаєморозрахунки в системі проводяться:

* міжбанківські - щоденно (в банківська дні) за кліринговою схемою, в т. ч. і по комісійним:

* внутрішньобанківські - щоденно (в банківські дні) самостійно банком - учасником за інформацією банківської карткової системи;

* платежі за вступ в систему, за обладнання і т. інш. - проводяться окремо.

6. Взаєморозрахунки

Взаєморозрахунки в системі здійснюються за кліринговою схемою. Після завершення сеансів поточного дня регіональні процесингові центри розраховують нетто-позиції кожного з банків регіону, звіряють з нетто-позиціями, що розраховуються самими банками та передають до Головного процесингового центру. Головний процесинговий центр зводить та вивіряє кліринг та формує остаточні нетто-позиції учасників системи, окремо по електронному гаманцю, електронному чеку та комісійним. Ці дані передаються до розрахункового банку (яким є установа Національного банку України), який здійснює платежі, а саме:

* дебетує установи, які мають заплатити по операціях даного дня та після сплати;

* кредитує установи, які мають отримати гроші.

У банках операції здійснюються наступним чином:

* відповідно до транзакцій перераховуються кошти з рахунків клієнтів на транзитний рахунок;

* відповідно до нетто-позиції з транзитного рахунку платяться або на нього поступають кошти з розрахункового банку;

* відповідно до транзакцій перераховуються кошти з транзитного рахунку на рисунок торговців.

Така схема дозволяє мінімізувати платежі між банками, забезпечити високу надійність розрахунків та можливість виконання банком всіх клієнтських платежів без залучення додаткових коштів.

7. Керування системою

Для керування учасниками системи на рівні банків та клієнтів передбачені два системні списки: “зелений лист” установ, що є учасниками системи та стоп-лист карток.

Зелений лист - це список банків-емітентів, що є учасниками системи. Він присутній у системах банків (для перевірки транзакцій в режимі on-line при завантаженнях та зборах) та у терміналах (для перевірок під час здійснення транзакцій платежу). Накази на зміни цього списку видаються системою (розповсюджуються Головним процесинговим центром) та доводяться до терміналів. В терміналах в списку присутні: емітенти електронних чеків (співпадають з списком банків-учасників) та емітентів електронного гаманця (зберігається у модулі безпеки терміналу).

Стоп-листи використовуються для перевірки спроможності карток виконувати платіжні операції. Вони бувають двох видів: стоп-лист операцій в режимі on-line та стоп-лист операцій в режимі off-line. Перший з них використовується для перевірки системами учасників під час завантажень та платежів з банківських рахунків, другий використовується терміналами під час проведення платіжних операцій. Перший захищає рахунки клієнтів та присутній у вигляді “зеленого листу”, тобто складає перелік усіх карток системи із зазначенням дозволу на їх використання. Картки ніколи не покидають цей перелік, окрім ситуацій знаходження втраченої картки (наприклад, вдома) користувачем. Другий захищає залишки на електронних чеках.

Картки ставляться до стоп-листа внаслідок втрати або крадіжки на підставі заяв клієнтів (письмових або по телефону, або у виняткових випадках банками чи процесинговими центрами (у разі підозри на підробку).

Відповідальність за зміст стоп-листів бере на себе система, але у рамках, описаних у Положенні (відповідальність настає після ЗО хвилин для on-line стоп-листу та 2 дні для off-line стоп-листу).

8. Захист інформації. Основні принципи

Захист в системі побудований на криптографічних методах та розмежуванню доступу до неї службових осіб.

Криптографічні методи захисту інформації дозволяють гарантувати незмінність її змісту та доступ до неї. Для цього використовуються стандарти (DES, Tripple DES, RSA). Для криптування використовується Тгіррlе DES на рівні карток, модулів безпеки терміналів, канального захисту від терміналів до банківської підсистеми, зберіганні інформації в базах даних, обміну інформацією між банками та процесинговими центрами, між сервером авторизації та сервером баз даних. DES використовується для забезпечення незмінності змісту інформації (МАС). RSA використовується для захисту інформації між сервером баз даних банку та його САБ, а також між ГПЦ та Розрахунковим банком.

Ключова система базується на системних та банківських ключах. Банки - учасники генерують свої ключі самостійно. Для виготовлення ключів DES, Тгіррlе DES використовується банківський HSM, який встановлюється в сервері авторизації банку.

Більш детальна інформація буде надаватись банку при вступі в систему.

9. Мінімізація ризиків в системі

Мінімізація ризиків здійснюється за рахунок таких чинників:

Побудова системи.

Захист інформації гарантований системою. Відповідальність (та ризики) несе система.

Стоп-листи.

Після заяви клієнта про втрату або крадіжку карти операції по ній блокуються на протязі 30 хвилин (для завантаження або платежу в режимі on-line), або 2 днів (реально швидше) для платежів в режимі off-line.

Розрахункова схема.

Виконання Національним банком України функцій розрахункового банку гарантує виконання взаєморозрахунків своєчасно та у повному обсязі.

Збереження інформації та арбітраж.

Кожна міжбанківська транзакція присутня у процесингових центрах, які виступають арбітрами між банками під час суперечок. Передбачено механізми вирішення всіх конфліктів, які можуть статися під час роботи системи.

Архівування.

Кожен банк веде архіви, контрольовані:

- самим банком

- системою,

- які використовуються при втраті будь-яких даних та у випадку нештатних ситуацій у системі.

Системні та банківські ліміти

З метою зниження ризиків та планування економічної діяльності банку з коштами клієнтів НСМЕП установлює кілька видів лімітів. Їх призначення та робота з ними приведені в таблиці.

Призначення ліміту	Ким встановлюється	Де знаходиться	Де проводиться перевірка	Обмеження, дія системи
	Системою	Банком
Ліміти за операціями електронного гаманця
Обмеження максимальної суми разового завантаження		+	картка	БД системи банку, картка	Відмова в проведенні операції
Обмеження максимального балансу		+	картка	БД системи банку, картка	Відмова в проведенні операції
Обмеження суми безПІНового платежу		+	картка	картка	Вимагає ввести ПІН
Обмеження суми безПІНового платежу	+		SAM	SAM	Вимагає ввести ПІН. Транзакція фіксується як одиночна
Обмеження суми разового платежу та видачі готівки	+		SAM	SAM	Відмова в проведенні операції
Обмеження суми платежів за 1 добу		+	картка	картка	Відмова в проведенні операції
Обмеження суми видачі готівки за 1 добу		+	картка	картка	Відмова в проведенні операції
Обмеження кількості спроб вводу ПІН для завантаження		+	картка	картка	Блокування операцій завантаження
Обмеження кількості спроб вводу ПІН для платежів та видачі готівки		+	картка	картка	Блокування платежів, що потребують вводу ПІНа
Ліміти за операціями електронного чека
Обмеження максимальної суми разового завантаження		+	картка	БД системи банку, картка	Відмова в проведенні операції
Обмеження максимального балансу		+	картка	БД системи банку, картка	Відмова в проведенні операції
Обмеження суми разового платежу та видачі готівки	+		SAM	SAM	Відмова в проведенні операції
Обмеження суми платежів за 1 добу		+	картка	картка	Відмова в проведенні операції
Обмеження суми видачі готівки за 1 добу		+	картка	картка	Відмова в проведенні операції
Обмеження кількості спроб вводу ПІН для завантаження		+	картка	картка	Блокування операцій завантаження
Обмеження кількості спроб вводу ПІН для платежів та видачі готівки		+	картка	картка	Блокування операцій платежів та видачі готівки
Загальні ліміти
Ліміт завантаження готівки - обмеження загальної суми по операціях завантаження готівки через сторонні банки		+	БД банківської системи, СА	БД банківської системи, СА	Відмова в проведенні операції завантаження готівки в стороннему банку
Ліміт завантаження електронного чеку - обмеження загальної суми по операціях завантаження електронного чека	+		Системний HSM	Системний HSM	Відмова в проведенні операції завантаження електронного чека
Ліміт завантаження електронного гаманця - обмеження загальної суми по операціях завантаження електронного гаманця	+		Системний HSM	Системний HSM	Відмова в проведенні операції завантаження електронного гаманця
Ліміт платежів дебетової картки - обмеження загальної суми по операціях дебетного платежу	+		Системний HSM	Системний HSM	Відмова в проведенні операції дебетного платежу

Размещено на Allbest.ru