Мудрый Экономист

Как выйти на рынок пластиковых карт: компоненты успешного старта

"Расчеты и операционная работа в коммерческом банке", 2010, N 6

Несмотря на то что организация в коммерческом банке карточного бизнеса является достаточно непростым видом деятельности, со множеством "сюрпризов" и "подводных камней", успешная реализация проекта эмиссии и кэш-эквайринга пластиковых карт даже "с нуля" не является утопией. Во второй части статьи, основанной на практическом опыте запуска карточного проекта, рассказывается о работе с тиражом заготовок, а также о нюансах организации сети устройств по выдаче наличных денежных средств.

Транспортировка заготовок и персонализированных карт

Теперь, когда все готово к началу эмиссии, следует определиться, кто и как будет перевозить карты из банка в бюро персонализации (далее - БП) и обратно. Обычно банк-эмитент держит у себя в хранилище "стратегический" запас неэмбоссированного пластика, а в центр персонализации передает по мере необходимости и согласно планам развития лишь относительно небольшие, "тактические", порции. Например, если у банка заказан тираж 10 тыс. карт Classic/Standard и имеется план выпустить в течение текущего квартала 2,5 тыс. карт этого вида, имеет смысл передать в БП 2,6 - 3 тыс. заготовок.

Перевозка карт из банка в БП, как правило, осуществляется силами вооруженной инкассации в бронемашине. Передача/прием больших объемов неэмбоссированного пластика осуществляется в специальном помещении БП - GTT (goods/tools trap) либо (при небольших количествах) непосредственно в зоне выдачи карт и ПИН-конвертов.

Любые действия по приему/передаче карт оформляются типовыми актами, которые составляются в двух экземплярах и подписываются со стороны банка и БП. Для осуществления таких действий сотруднику банка необходимо иметь доверенность, оформленную в соответствии с действующим законодательством РФ.

Персонализация (эмбоссирование) карт и распечатка ПИН-конвертов к ним должны осуществляться в БП в различные дни (требование безопасности МПС). Соответственно, и доставка готовых карт и ПИН-конвертов к ним должна осуществляться по такой же схеме: либо одним курьером в разные дни, либо в один день разными курьерами.

Это формальное требование МПС, но де-факто оно не всегда соблюдается (в зависимости от политики БП), и на практике один и тот же человек может получить по акту и карты, и ПИН-конверты к ним для транспортировки из БП в банк-эмитент или его офисы. Риск при таком отклонении от требований не очень велик, так как обычно карты передаются курьеру неактивированными (по ним невозможно осуществить операцию с авторизацией). Для того чтобы легитимно получать карты и ПИН-конверты к ним в один день, эмитенту следует написать соответствующее письмо в БП. Персонализированные карты и ПИН-конверты к ним выдаются БП на основании доверенности.

Хранение персонализированных карт и ПИН-конвертов

Международные платежные системы довольно внимательно наблюдают за соблюдением эмитентами требований к хранению пластиковых карт. Согласно действующим правилам персонализированные карты и ПИН-конверты к ним необходимо непременно хранить раздельно вплоть до передачи законному держателю карты или его уполномоченному представителю. Обычно для реализации этого требования достаточно закупить два небольших сейфа, в которых будут храниться эмбоссированные карты и ПИН-конверты к ним. Само собой, ключи/ кодовые комбинации от сейфов должны быть доверены различным сотрудникам (например, карты выдает касса, а ПИН-конверты - подразделение, отвечающее за работу с картами).

Важным моментом является адекватное отражение движения заготовок карт во внебалансовом учете: в нем должно быть однозначно указано, кто в каждый момент времени отвечает за карты, начиная с выдачи их для транспортировки в центр персонализации (далее - ЦП) и заканчивая передачей законному держателю.

Выдача карт и ПИН-конвертов клиентам

Перед передачей карты и ПИН-конверта клиенту карту необходимо разблокировать в процессинговом центре (далее - ПЦ), иначе ее невозможно будет использовать. Это реализуется путем отправки файла соответствующего формата, статус карты меняется с "05" (Do Not Honor) или иного служебного на "00".

Небесполезной может оказаться практика копирования на ксероксе обратной стороны карты, выданной клиенту, с наличием его подписи на соответствующей полосе. В будущем этот листочек может оказать неоценимую помощь в разного рода непредвиденных ситуациях, его следует хранить в досье клиента в течение всего срока действия карты, возобновляя по мере надобности в связи с перевыпуском карт.

Рекомендации по закупке и установке устройств

Перед тем как закупать оборудование, следует весьма тщательно, очень взвешенно и непредвзято продумать и просчитать финансовые аспекты бизнес-модели в части доходности и сроков окупаемости: если POS-терминал стоит несколько сотен долларов, то на закупку банкомата без функций приема денег придется потратить гораздо большую сумму (13 - 15 тыс. долл. США).

Очень важным параметром, определяющим оборот, а вместе с ним и доходность будущей точки установки, является место расположения пункта выдачи наличных (далее - ПВН) либо автоматической телекоммуникационной машины (далее - АТМ). Если место выбрано удачно, в такой ПВН/банкомат будут часто обращаться клиенты - держатели карт сторонних банков, позволяя эквайреру зарабатывать на комиссии в виде interchange. И наоборот, будучи установленным в редко посещаемом месте, банкомат станет лишь источником текущих убытков в виде платежей за аренду, канал связи, инкассацию и обслуживание.

Довольно интересной бизнес-идеей является полный или практически полный отказ от организации собственной сети дорогостоящих банкоматов, предполагающий отмену комиссии за получение наличных в ПВН/АТМ сторонних банков. В этом случае банк-эмитент принимает на себя бремя финансовых затрат по операциям получения наличных в сети устройств сторонних эквайреров, но экономит десятки тысяч долларов на закупке АТМ, а также на оплате каналов связи, аренды, инкассации и технического обслуживания АТМ (в том числе на специалистах по их обслуживанию - в данном случае в них нет необходимости).

Одним из вариантов бюджетного решения проблемы может стать закупка банкоматов, уже бывших в употреблении. Цены на такие устройства могут отличаться от цен новых на 50 - 60% и более. Как правило, крупные банки охотно предлагают устаревшие либо бывшие в употреблении устройства по выгодной цене.

Организация каналов связи

После того как карты персонализированы и вместе с ПИН-конвертами выданы на руки клиентам, по ним начинаются эмиссионные операции - клиенты совершают покупки в сети ТСП иных банков и получают наличные в АТМ и ПВН. Для удобства и из соображений здравого смысла эмитент должен иметь возможность хотя бы выдавать наличные по своим картам в ПВН, предоставляя этот сервис бесплатно собственным клиентам и на возмездной основе клиентам иных банков. В данной статье не будет рассматриваться вариант выдачи наличных с использованием импринтера и голосовой связи как устаревший и потому неактуальный.

Для выдачи наличных по карте необходимо иметь POS-терминал, подключенный к серверу (хосту) центра авторизации (провайдера услуг). POS-терминалы работают по различным протоколам, но в настоящее время все чаще предпочтение отдается IP. В качестве среды передачи данных могут использоваться как витая пара, так и телефонная линия, GSM/GPRS, WiFi и WiMAX.

Обычно провайдер услуг банка сам предоставляет список рекомендованных типов оборудования и способов его подключения. Для построения защищенного канала связи, как правило, используются маршрутизаторы Cisco, LinkSys, Juniper и прочие совместимые.

Регистрация устройств в программном обеспечении и центре авторизации

Для того чтобы любое устройство (POS-терминал, импринтер, банкомат) заработало в системе, его необходимо зарегистрировать: с одной стороны, платежная система должна знать о его существовании, чтобы корректно маршрутизировать авторизационные запросы, с другой - внутри банка должны адекватно проводиться расчеты по операциям в нем.

Первая часть задачи решается путем регистрации устройств в центре авторизации (далее - ЦА) MSP (member service provider): для этого обычно заполняется типовая форма, в которой указываются такие параметры работы устройства, как типы операций, MCC, коды валют, лимиты, часы работы, комиссии и пр. Со своей стороны, MSP регистрирует ПВН/АТМ в сети платежной системы, чтобы остальные участники системы могли "видеть" это устройство.

Соответственно, и в карточном программном обеспечении (далее - ПО) банка это устройство также необходимо зарегистрировать, открыть под него счета для возмещения и подготовить карточный бэк-офис к приему файлов с операциями, проведенными в этом устройстве.

Закупка и подключение POS-терминалов для пункта выдачи наличных

После того как сделан выбор в части модели закупаемых POS-терминалов, следует связаться с потенциальными поставщиками и запросить у них коммерческое предложение на требуемую партию устройств. По достижении консенсуса в части цены и сроков поставки устройств заключается типовой договор поставки и производится оплата по нему. Следует обратить внимание на условия продажи и срок действия лицензии, а также сразу закупить SAM (secured application module) в необходимом количестве.

Для обеспечения безопасности передачи ПИН и данных карты на все POS-терминалы загружаются криптографические ключи. Эта процедура обычно выполняется также провайдером услуг (вендором) - MSP - на возмездной основе. Терминалы по получении от продавца передаются провайдеру по акту, и в течение оговоренного времени провайдер на своей территории осуществляет подготовку POS-терминалов к работе: загружает необходимое программное обеспечение и криптографические ключи.

После получения от провайдера готового терминала (с установленным на нем ПО, загруженными ключами и настроенными комиссиями) следует провести пробные операции выдачи наличных - по своим картам и по картам сторонних эмитентов, убедившись в том, что комиссии начисляются правильно (по "чужим" картам) и расчеты по всем счетам осуществляются корректно.

Оформление операций выдачи наличных

Следует провести обучение кассиров ПВН основам работы с картами по оформлению соответствующих операций. Многие спонсоры и вендоры предлагают провести обучение своими силами за умеренную плату. Необходимо заблаговременно предоставить кассирам ПВН инструктивные материалы, включая документацию по работе с конкретным видом POS-терминала и версии терминального ПО.

Наклейки для ПВН можно получить в представительстве соответствующей платежной системы.

Запуск ПВН в эксплуатацию оформляется приказом по банку. Вводятся тарифы за выдачу наличных: для своих карт и карт, выпущенных всеми прочими эмитентами этой платежной системы. По операциям второго типа устанавливается комиссия, как правило, в пределах от 2 до 6%. Терминальное ПО должно определять тип карты ("своя/чужая") и сразу учитывать размер комиссии в авторизационном запросе. Чеки терминалов, выдаваемые клиенту, должны удовлетворять требованиям ЦБ РФ (см. Положение от 24.12.2004 N 266-П "Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт") и требованиям соответствующей платежной системы.

Так, в соответствии с требованиями Банка России "Документ по операциям с использованием платежной карты должен содержать следующие обязательные реквизиты:

Документ по операциям с использованием платежной карты на бумажном носителе дополнительно должен содержать подпись держателя платежной карты и подпись кассира при его составлении в помещении для совершения операций с ценностями кредитной организации и ее структурных подразделений, а также в организации и ее структурных подразделениях, осуществляющих операции по приему или выдаче наличных денежных средств с использованием платежных карт в случаях, предусмотренных законодательством Российской Федерации (далее - пункт выдачи наличных (ПВН))".

В соответствии же с актуальными требованиями МПС Visa, MasterCard на чеке необходимо распечатывать информацию о стране, городе, адресе и названии ТСП/отделения банка, поэтому они должны обязательно присутствовать на лицевой стороне TID (transaction information document). Номер карты не должен выводиться полностью: вместо первых 12 цифр - звездочки, на чеке - только последние 4 цифры. Срок действия карты тоже не должен присутствовать на чеке.

Напомним, что в течение 10 рабочих дней с даты первой операции выдачи наличных необходимо отослать в ЦБ РФ отчет по форме N 0409255.

Закупка банкоматов

По сравнению с POS-терминалом банкомат имеет ряд важных преимуществ, а именно: операции в нем происходят без участия сотрудника банка, он может работать круглосуточно, никогда не "ошибается" и не путает валюту при выдаче наличных, занимает площадь всего примерно 1 кв. м. Но и цена его существенно выше: если POS-терминал стоит вместе с лицензией примерно 1 тыс. долл. США (при небольших партиях закупки), то цена одного АТМ составляет примерно 13 - 15 тыс. долл. США для партии 1 - 5 шт.

В РФ наиболее распространены АТМ марок NCR, Diebold, Wincor-Nixdorf. У каждого из этих брендов имеется широкий набор моделей, способный удовлетворить любые запросы потенциального покупателя. Как и в случае с POS-терминалами, для закупки АТМ следует определиться, какое количество банкоматов планируется приобрести, после чего связаться с потенциальными поставщиками и запросить у них коммерческое предложение. Обычно процессинговые центры и спонсоры поддерживают любые модели АТМ, но хорошим решением будет предварительный запрос их рекомендации по конкретным предпочитаемым моделям банкоматов.

Поскольку банкомат весит несколько центнеров, а то и тонну, следует проработать такой вопрос, как его транспортировка и установка в конкретном месте. Многие продавцы предлагают свои услуги для решения этого вопроса или рекомендуют фирмы, берущиеся осуществить такелажные работы.

Современные банкоматы имеют опцию крепления их к полу в точке установки анкерными болтами. Для реализации этого небесполезного механизма безопасности следует заранее запросить у продавца АТМ схему разметки установочного места под крепежные болты и тревожную кнопку. Необходимо согласовать с арендодателем возможность сверления полов под анкерные болты для крепежа банкомата.

В течение 1 - 2 дней после фактического получения АТМ следует передать в кассу банка все ключи (от служебных отсеков и сейфа) от банкомата, оформить соответствующие проводки на внебалансовом учете в АБС банка. Если сейф банкомата оснащен кодовой комбинацией, необходимо сменить заводскую установку на свое уникальное значение.

Хорошей практикой будет немедленная смена установленного поставщиком АТМ пароля (а лучше - и имени) пользователя в операционной системе, под управлением которой работает банкоматное ПО.

Регистрация и подключение автоматической телекоммуникационной машины

Точно так же, как и POS-терминал (используемый в ПВН), банкомат должен быть зарегистрирован в ЦА и карточном ПО. Устройству присваивается уникальный идентификатор, под него открываются счета на балансе банка. Фронтальное ПО ПЦ должно "знать", какими купюрами будут загружаться кассеты банкомата. Это очень важный вопрос, и лучше еще на этапе закупки обговорить с продавцом вопрос подготовки (на сленге - "нарезки") кассет под конкретные купюры. В зависимости от точки установки банкомат можно настроить на выдачу только рублей, например загружая в кассеты купюры номиналом 1000, 500, 100 и 50 руб., или же рублей и инвалюты (в аэропортах, гостиницах), например загружая купюры номиналом 1000, 500 руб., 100 долл. и 50 евро.

Для связи банкомата с ПЦ обычно используют так называемый виртуальный канал (VPN, Virtual Private Network), позволяющий создавать соединение "точка - точка" с шифрованием через Интернет. Возможно, потребуется закупка специального маршрутизатора по рекомендации ПЦ или привлечение спонсора для организации защищенного (зашифрованного) канала.

Поскольку все операции в банкомате производятся с проверкой ПИН держателя, существует проблема защиты ПИН от компрометации. Этот вопрос решается шифрованием ПИН-блока с использованием криптографического алгоритма 3DES (Triple DES). Для того чтобы загрузить в банкомат ключ, которым шифруется ПИН-блок, используется так называемый мастер-ключ (TMK, terminal master key), покомпонентно загружаемый в АТМ в присутствии комиссии минимум из двух офицеров безопасности банка.

Компоненты ТМК генерируются офицерами безопасности процессингового центра или спонсора в безопасных условиях на специальном устройстве (Host Security Module, HSM) и передаются лично каждому из офицеров банка-эквайрера под расписку по доверенности в запечатанном ПИН-конверте. Для загрузки ТМК в АТМ банкомат переводится в режим сервисного обслуживания (supervisor mode), после чего в меню супервизора выбирается пункт загрузки ТМК. Каждый из офицеров безопасности банка строго индивидуально вводит с ПИН-клавиатуры АТМ значение полученного им компонента. Для проверки правильности введенного значения компонента ПЦ обычно предоставляет так называемое проверочное значение (check value), которое после ввода компонента в банкомат должно совпасть с тем, которое распечатано на ПИН-конверте компонента.

Правильность введенного ключа (из 2 - 3 компонентов) также гарантируется совпадением проверочного значения, отображаемого на экране АТМ после ввода всех компонентов ключа, со значением, распечатанным на ПИН-конверте (либо на последнем, либо на каждом на усмотрение ПЦ или спонсора).

После ввода ключа следует проверить правильность его загрузки, например запросив баланс по карте (требуется ввод ПИН) своего банка или стороннего. В случае неверной загрузки ключа хост процессора выдаст ошибку криптографии (RC='81'). В этом случае необходимо загрузить ТМК заново до получения верного результата (совпадения check value, распечатанного на конверте, со значением, выдаваемым на экране АТМ). После успешной сборки ключа компоненты ТМК необходимо уничтожить способом, гарантирующим невозможность их восстановления, например сжечь или измельчить в хорошем шредере. Факт загрузки ключа необходимо оформить актом, подписанным всеми участниками сборки ключа - офицерами безопасности.

Если банкомат "видит" хост и ключ собран правильно, можно загружать в АТМ наличные (в строгом соответствии с номиналами купюр, зарегистрированными в ПЦ) и приступать к их выдаче. Само собой, желательно, чтобы первые пробные операции по своим картам осуществили сотрудники банка для получения уверенности в том, что все работает корректно и без ошибок - маршрутизация, авторизации и расчеты/возмещения.

Очень разумной практикой представляется оборудование АТМ системой видеонаблюдения и фиксацией процессов получения наличных (видеозапись с места событий). Современные банкоматы, как правило, оборудованы встроенными видеокамерами. При использовании средств видеонаблюдения сторонних разработчиков следует помнить о том, что в поле зрения видеокамеры не должна попадать клавиатура АТМ, чтобы вводимый клиентами ПИН не воспроизводился на камерах слежения. Видеозаписи наиболее удобно и правильно хранить в цифровом виде на жестком диске в течение не менее 120 - 180 суток.

Расходные материалы

Чеки POS-терминалов и банкоматов распечатываются на специальной термоленте, продающейся в роликах. Следует уточнить у поставщика терминалов/АТМ, какой спецификации (ширина ленты и диаметр втулки, ролика) должны удовлетворять ролики термоленты, и заблаговременно закупить необходимое количество. Нет смысла закупать ролики заранее в слишком большом количестве: термолента высыхает со временем и становится непригодной.

Во многих современных банкоматах реализован механизм ведения служебных журналов не на термоленте, а в файлах на жестком диске, что очень удобно, экономно и практично: данные на термобумаге выцветают со временем, а в цифровом виде их можно хранить практически вечно и они более легкодоступны.

Торговый эквайринг: за и против

Эквайринг, несомненно, является наиболее выгодным бизнесом в плане доходности. Однако и расходы на эквайринговую часть очень велики: банку следует очень тщательно просчитать все доходы и расходы, прежде чем проявлять эквайринговую активность: это весьма дорогое удовольствие, оно не под силу небольшим банкам. К тому же, например, в Visa лицензия на торговый эквайринг (без e-commerce) в настоящее время предоставляется за 250 тыс. долл. США.

Возможно, экономически более выгодно и оправданно будет сначала сосредоточиться именно на эмиссии карт, а после достижения объема портфеля в 50 - 60 тыс. карт вновь просчитать целесообразность выхода на рынок эквайринга - высокодоходный, но в то же время сильно рисковый и небезопасный.

Файловый обмен, принцип работы системы защищенного (электронного) документооборота

Ежедневно по результатам обработки эмитентских и эквайрерских операций провайдер (спонсор) присылает банку файлы, содержащие данные по таким операциям. Набор файлов может существенно изменяться от одного спонсора/провайдера к другому, но обычно существует некий практический минимум, предоставляемый всеми. Это файлы-отчеты следующих типов:

Как правило, данные определенных типов поступают в банк с заранее оговоренными именами файлов, что позволяет легче определять назначение файла. Многие типы файлов поступают в течение дня неоднократно, рейсами. В качестве расширения имени файла обычно используется порядковый номер дня в году (часто называемый специалистами юлианской датой, что неправильно).

Ежедневные операции. Квартальная отчетность

Ежедневные рутинные операции в подразделении, занимающемся обработкой операций по картам, заключаются, как правило, в нижеследующем:

Наилучшим способом контроля правильности и своевременности ведения бухгалтерского учета операций по картам служит сверка сумм по корсчетам: в идеале в конце каждого дня на счете 30232 должны быть нулевые остатки (в отличие от 30233, на котором отражаются средства, выданные по картам сторонних банков, ожидающиеся к зачислению на корсчета в виде возмещений). Тем не менее в силу особенности ведения бизнеса довольно нередки ситуации, когда средства уже прошли по корсчету, а файл с данными еще не поступил, или наоборот.

Ежемесячно необходимо генерировать и распечатывать (возможно - рассылать по электронной почте) клиентские выписки.

Ежеквартально следует представлять отчетность в ЦБ РФ (по форме 0409250) и в МПС (обычно за аффилиатов эту задачу решают спонсоры или процессинговые центры, но при наличии подключения к сети ПС (например, межхостовое соединение) возможен вариант самостоятельного заполнения через Интернет). Отчеты по форме 0409250 в ЦБ РФ "...представляются кредитными организациями (их филиалами), включая расчетные небанковские кредитные организации (их филиалы), в территориальные учреждения Банка России не позднее 7-го рабочего дня месяца, следующего за отчетным кварталом". Международные платежные системы в данном вопросе более либеральны и предоставляют срок, как правило, не менее 15 календарных дней с начала квартала, следующего за отчетным.

Претензионная работа (Exception Cycle, Disputes)

Согласно современным данным, 99,9% операций проходят нормально и лишь 0,1% имеют своим следствием претензии клиентов (эмиссия). Таким образом, если эмитент владеет портфелем 20 тыс. карт, имея 3 тыс. авторизаций в сутки, при 100 тыс. операций в месяц можно получать до 100 претензий в месяц (4 - 5 претензий в рабочий день).

Способ и механизмы ведения претензионного цикла во многом зависят от спонсора. Наиболее распространенными вариантами являются следующие:

Мониторинг

В соответствии с требованиями Visa CEMEA (разд. 2.6 Acquirer Monitoring Standards и 2.7 Issuer Monitoring Standards) банки обязаны ежедневно осуществлять мониторинг активности своих клиентов - как по эмиссии (авторизации по картам - 16 запросов), так и по эквайрингу (авторизации (9 запросов) и транзакции (14 запросов) в ТСП/устройствах). Это очень важное и совершенно необходимое направление деятельности, к сожалению недостаточно серьезно воспринимаемое отечественными специалистами.

Несмотря на то что эти требования перечислены в правилах Visa, они на 100% применимы и к продуктам MasterCard. Механизм мониторинга позволяет выявить необычные события (авторизационные запросы и подозрительные транзакции), что существенно помогает минимизировать затраты банка как по эмиссии, так и по эквайрингу.

Мониторинг совершенно несложно организовать собственными силами, ежедневно подгружая данные из отчетов, получаемых от спонсора/ПЦ, в базу данных, например MS Access или MySQL. Следует анализировать как авторизационные запросы (успешные и неуспешные, т.е. отказы), так и транзакции.

В случае выявления операций или событий, явно выделяющихся на общем фоне, следует:

С.В.Серебряков

Начальник

сектора претензионной работы

и мониторинга

управление платежных систем

СВЯЗНОЙ БАНК (ЗАО)

Контроль кассовых операций
 
Универсальная электронная карта - проект национального масштаба