Объединенная система кредитных карт. Прецедент с UCS может изменить весь рынок процессинга
ЗАО «Компания объединенных кредитных карточек» (UCS) - крупнейшая в России процессинговая компания, основные бизнес-направления которой включают эмиссию и эквайринг пластиковых карт таких международных платежных систем, как: VISA International, MasterCard Worldwide, Diners Club International, JCB International. Широкая линейка решений, которые сегодня предлагает компания, тесно связана с процессингом кредитных карт. Компания является одним из лидеров рынка более 30 лет. Преимущества UCS, как специализированного процессора, позволяют оказывать наиболее качественный и полный сервис всем клиентам, для которых выпуск или прием карт в оплату является стратегически важным.
Задачи проекта
Стандарт PCI DSS разработан в целях повышения уровня обеспечения безопасности в индустрии платежных карт и сформулирован в 12 требованиях. Организации, которые производят обработку и хранение информации о держателях платежных карт и работают с международными платежными системами, должны каждый год подтверждать соответствие защищенности своих платежных систем требованиям стандарта PCI DSS.
Когда международные платежные системы обязали своих клиентов соответствовать требованиям стандарта PCI DSS, направленным на повышение уровня обеспечения безопасности клиентских данных, компания UCS одной из первых начала вести работу по усовершенствованию систем информационной безопасности. Руководство компании приняло решение о приведении процессинговой системы в соответствие с требованиями стандарта PCI DSS.
Несоответствие требованиям стандарта наблюдалось по следующим параметрам:
- отсутствие некоторых средств защиты информации, требуемых PCI DSS;
- отсутствие возможности реализации требований стандарта техническими средствами;
- недостаточная документированность процессов управления информационной безопасностью.
Исполнителем проекта была выбрана компания «Инфосистемы Джет» – одна из немногих, обладающих необходимыми для проведения аудита на соответствие PCI DSS статусами Qualified Security Assessor (QSA, для аудита) и Approved Scanning Vendor (ASV, для сканирования сети), а также практическим опытом.
Кроме того, у компаний уже был опыт успешной совместной работы – крупный проект по построению дата-центра «под ключ».
Работа над проектом строилась в три этапа: первоначальный анализ соответствия требованиям стандарта, устранение несоответствий и внедрение необходимых организационно-технических мер защиты, сертификационный аудит.
Первый этап проекта включал в себя предварительную экспертизу процессинговых систем компании UCS. Были обследованы ИТ-система, технологические и бизнес-процессы компании, а также их взаимодействие.
Игорь Ляпунов , начальник Центра информационной безопасности компании «Инфосистемы Джет», подчеркнул: «Мы провели полномасштабное обследование, которое потребовало большого количества ресурсов, в том числе, человеческих. Мы собрали огромное количество данных, опросили не один десяток сотрудников, согласовали полученные данные – таким образом мы собрали всю необходимую информацию для второго этапа».
Обследование выявило несколько несоответствий требованиям стандарта PCI DSS, например, существовала проблема с внесением изменений в платежную систему – был высок риск нарушений в ее работе. Поэтому в рекомендациях по устранению несоответствий были учтены и эти моменты. По рекомендациям был разработан план приведения в соответствие, содержащий конкретные действия по удовлетворению всех требований.
Второй этап начался с анализа рисков в работе ИТ-инфраструктуры, препятствующих выполнению некоторых требований стандарта PCI DSS. По результатам анализа консультанты компании «Инфосистемы Джет» предложили ряд компенсирующих мер. Эти меры позволили удовлетворить требования PCI DSS, а также сократить затраты заказчика, не уменьшив уровень безопасности.
В рамках второго этапа специалисты компании «Инфосистемы Джет» выполнили проектирование и внедрение комплекса организационных и технических решений для защиты данных о держателях платежных карт. Они разработали необходимую документацию, выполнили внедрение процессов управления информационной безопасностью, требуемых стандартом: процессы управления рисками, инцидентами и уязвимостями. Был реализован ряд технических решений, требуемых PCI DSS либо выступающих в качестве компенсирующих мер:
- внедрена система обнаружения вторжений;
- создана система сквозного мониторинга событий ИБ;
- создана система контроля целостности на всех этапах работы с данными;
- проведена сетевая сегментация;
- внедрен процесс управления инцидентами.
Особое внимание было уделено решениям по управлению доступом к информации и информационным ресурсам.
Многие действия приходилось выполнять «по-живому» – без остановки даже отдельных компонентов – ведь работу процессингового центра остановить нельзя.
Дмитрий Сидоров , директор Дирекции IT UCS, заметил: «Мы пользовались технологией параллельных решений, когда новый процесс внедрялся параллельно со старым, велась верификация результатов старого и нового процессов, и если результаты верификации совпадали, то новый процесс уже внедрялся на место старого. Ни одного серьезного сбоя не было».
При реализации проектов, затрагивающих изменение привычных для пользователей бизнес-процессов, очень важным аспектом является работа с коллективом, особенно участие руководства компании-заказчика в проекте, донесение и разъяснение сотрудникам важности и необходимости такой перестройки. Руководство UCS принимало активное участие в проекте, что во многом способствовало сплочению коллектива и скорейшему разрешению любых проблем.
Третий этап проекта – проведение независимого аудита на соответствие требованиям стандарта PCI DSS – был выполнен отдельной командой сертифицированных специалистов компании «Инфосистемы Джет». Аудиторы заполняли анкеты, проводили интервью, проверяли внутренние документы компании и настройки средств защиты информации. По итогам аудита было дано подтверждение соответствия процессингового центра компании UCS требованиям стандарта PCI DSS.
Отчет о проведенном аудите был отправлен экспертам компаний VISA и MasterCard, которые подтвердили статус соответствия компании UCS международному стандарту PCI DSS.
Компания «КОКК» (UCS) одной из первых в Российской Федерации получила сертификат соответствия, свидетельствующий о полном выполнении требований последней версии стандарта PCI DSS 1.2.
Теперь «КОКК» отвечает постоянно растущему уровню требований клиентов и партнеров, а также может свободно оперировать на западном рынке.
Более того, требования стандарта PCI DSS во многом пересекаются с требованиями СТО БР и “Закона о персональных данных”, которому должны соответствовать все организации, обрабатывающие персональные данные. Поэтому некоторые внедренные организационные и технические меры также помогают выполнению требований ФЗ-152 и стандарта СТО БР, а главное, обеспечивают реальную защиту клиентских данных.
Дмитрий Сидоров , директор Дирекции IT ЗАО «Компания объединенных кредитных карточек»(UCS): «Сертификат на соответствие требованиям стандарта PCI DSS подтверждает высокий уровень защиты персональных данных в нашей компании. Он дает большие преимущества нам, и, что еще более важно – нашим клиентам. Среди них много крупных банков, каждый из которых может пойти по собственному пути развития бизнеса. И мы, в свою очередь, готовы сопровождать их на всех этапах. Например, теперь мы можем осуществлять полный аутсорсинг базы счетов банка, будучи уверенными в безопасности нашей процессинговой системы. Специалисты компании «Инфосистемы Джет» помогли нам достичь согласия с требованиями стандарта, и мы готовы рекомендовать их как экспертов высочайшего уровня».
26 ноября 2018 года АО «Глобэксбанк» стал частью ПАО АКБ «Связь-Банк». Решение об объединении было принято Наблюдательным советом главного акционера обоих банков, государственной корпорацией развития «ВЭБ.РФ», для создания обновленного надежного единого финансового института.
Объединенная продуктовая линейка включает в себя лучшие предложения двух банков как для частных, так и для корпоративных клиентов.
Основным акционером Связь-Банка остается государственная корпорация развития «ВЭБ.РФ», что является гарантом его надежности.
Мы рады видеть вас среди клиентов нашего Банка! Добро пожаловать!
Почему мы объединились?
АО «Глобэксбанк» и ПАО АКБ «Связь-Банк» - дочерние общества государственной корпорации развития «ВЭБ.РФ». Решение о присоединении было принято наблюдательным советом главного акционера банков. Единая модель двух банков позволит оптимизировать издержки и повысить эффективность работы, а объединение лучших практик обеспечит рост всех направлений бизнеса.
Что у нас нового?
- Бренд
АО «Глобэксбанк» становится частью ПАО АКБ «Связь-Банк» - банки объединяются под брендом Связь-Банка.
- Ассортимент услуг
Объединенная унифицированная продуктовая линейка включает в себя лучшие предложения по продуктам и услугам двух банков.
- Филиальная сеть
Региональные отделения Глобэксбанка - Центральный, Невский, Сибирский, Донской и Поволжский - вошли в сеть Связь-Банка и продолжили работать по тем же адресам. Теперь Банк обслуживает клиентов в 64 городах России.
Новые офисы Связь-Банка
В офисах, открытых на основе отделений, входивших в филиальную сеть «Глобэксбанка» , в полном объеме будут обслуживаться действующие договоры АО «Глобэксбанка». Кроме того, в них доступны операции по продуктам Связь-Банка, не требующие работы с кассой - прием пакетов документов и заведение кредитных заявок, оформление и выдача пластиковых карт, подключение дистанционного банковского обслуживания.
«Исторические» офисы Связь-Банка
Для работы по договорам, заключенным с АО «Глобэксбанк», обращайтесь в отделение Связь-Банка, открытое на базе бывшего полноформатного отделения АО «Глобэксбанк» . Менеджеры Связь-Банка подскажут местонахождение подходящего офиса поблизости.
В офисах, входящих в сеть Связь-Банка до объединения, как и прежде будет доступен полный перечень услуг банка, а также заключение новых договоров и операции по договорам, открытым в Связь-Банке.
Что осталось по-старому?
Условия по продуктам
Для клиентов Глобэксбанка условия по продуктам соответствуют действующим (заключенным ранее) договорам.
ВНИМАНИЕ: С 26.02.2019 изменяются процентные ставки по продуктам для физических лиц Накопительный счет: "Доходный", "Доходный он-лайн", на значение 0,01% годовых для всех суммовых градаций.
Интернет-банк
Клиенты, как и прежде, могут без ограничений пользоваться мобильным и интернет-банком Глобэксбанка.
Работа отделений
График работы отделений Глобэксбанка останется прежним. Узнать о нем подробнее можно по ссылке .
Задать вопрос
Все возникающие вопросы вы, как и прежде, можете задать по телефону контакт-центра 8-800-7007-555 или обратиться в любой из офисов Связь-Банка.
Часто задаваемые вопросы
Способы внесения платежей по кредиту АО «ГЛОБЭКСБАНК»
Правила Программы лояльности «Ультра-Глобэкс» в ПАО АКБ «Связь-Банк»
- Архив документов АО "ГЛОБЭКСБАНК"
- О Банке
- Валютный контроль
- Частным лицам
- Малому бизнесу
- Крупному бизнесу
- Финансовым организациям
- Брокерское обслуживание
- Депозитарное обслуживание
Заявка на подключение
Заявка на подключение
Традиционно процессинговые компании ограничивают в договорах с клиентами размер своей ответственности за возможные убытки некоторой фиксированной суммой или связывают её с доходами, полученными от данного клиента, а также исключают ответственность за некоторые убытки, в первую очередь за упущенную выгоду. С точки зрения пользователей процессинговых услуг, это может выглядеть несправедливо. Но на практике в силу несоразмерности доходов процессинговой компании и оборотов банка-клиента (или платежной системы, как в данном случае) совсем не исключена ситуация, когда возможные убытки финансовой организации, в принципе приемлемые для её масштабов бизнеса, приведут к неминуемому банкротству процессинговой компании. И тогда проблемы возникнут не только у клиента, понёсшего убытки, но и у всех остальных клиентов этой компании, вынужденно прекращающей операции.
В случае с UCS объём убытков, подлежащих возмещению, сопоставим с годовой выручкой компании
С точки зрения здравого смысла плохой сервис лучше его полного и внезапного отсутствия, поэтому, хоть случаи причинения процессорами убытков своим клиентам и имеют место сплошь и рядом, но до этого дня все они разрешались «полюбовно» и не выходили в публичную и тем более судебную плоскость.
В случае с UCS объём убытков, подлежащих возмещению, сопоставим с годовой выручкой компании. Его выплата, хоть и не смертельна для бизнеса компании, входящей в глобальную группу Global Payments, но очень чувствительна. И ни UCS, ни другие игроки не застрахованы от новых исков пострадавших финансовых организаций, которые могут опираться на пункт 5 статьи 17 Закона «О национальной платёжной системе»:
«Операционный центр несет ответственность за реальный ущерб, причиненный участникам платежной системы, платежному клиринговому центру и расчетному центру вследствие неоказания (ненадлежащего оказания) операционных услуг».
Причём, в зависимости от толкования этой нормы судом, финансовые организации могут требовать возмещения не только прямых убытков, но и косвенных потерь в виде репутационного ущерба (например, от простоев в обслуживании держателей карт).
С учётом данной ситуации сакраментальный вопрос выбора между собственным процессинговым центром и аутсорсингом получает новую почву для дискуссий. При выборе между аутсорсингом в специализированной процессинговой компании или в банке, предоставляющем процессинговые услуги, также появляются дополнительные аргументы в пользу банка, который имеет диверсифицированый бизнес, большие обороты и, следовательно, больше возможностей покрыть убытки и продолжить деятельность.
