В крупнейшей в России независимой системе процессинга платежей United Card Service (UCS) на днях произошел серьезный технический сбой. В прошлую пятницу, 21 августа, клиенты 140 банков - партнеров UCS не могли воспользоваться своими картами для переводов, оплаты товаров и услуг, узнала газета «Известия». Также они не могли снять наличные в банкоматах банков - партнеров UCS. В нескольких крупных банках сообщили, что тогда зависли тысячи трансакций россиян.
Сбой продолжался в течение 5 часов 20 минут, подтвердил изданию исполняющий обязанности руководителя блока «Информационные технологии» UCS Артем Окуньков. По словам экспертов, это крупнейший сбой в российских системах процессинга: как правило, неполадки устраняются за 40-60 минут.
«На серверах базы данных компании, действительно, произошел сбой, который продлился 5 часов 20 минут, с 2:50 по 8:10, - рассказал Окуньков. - Полное восстановление неполадок осложнилось тем, что его не удалось осуществить удаленно, без непосредственного доступа к серверам в дата-центрах. Помимо этого, для восстановления потребовалось провести исчерпывающую диагностику всей инфраструктуры. Использование же резервных систем было крайне рискованно и могло привести к большой потере данных, так как причины сбоя на момент аварии были неясны. Проверка периметра и диагностика также потребовали времени. Как правило, сбои технического характера устраняются в процессинговом центре за время, не превышающее 60 минут, однако данный конкретный сбой впервые потребовал совместного участия нескольких подразделений и полномасштабной диагностики в двух дата-центрах. Сейчас расследование причин сбоя продолжается совместно с нашими поставщиками оборудования и программного обеспечения - компаниями Oracle и Fujitsu».
UCS (АО «Компания объединенных кредитных карточек», входит в американскую группу Global Payments) - процессинговая компания, занимающаяся обработкой трансакций по банковским картам. Она обеспечивает проведение карточных операций для банков, которые не могут или не хотят содержать собственный процессинг и отдают его на аутсорсинг, а также для банков, которым не хватает своих дата-центров, - они частично зависят от UCS. В целом у UCS около 140 банков-клиентов, среди партнеров - Новикомбанк, Нордеа Банк, Абсолют Банк, «Открытие» и др.
По собственным оценкам компании, UCS обслуживает около 20% оборота по сделкам, совершаемым держателями международных и локальных платежных карт в РФ; среди конкурентов UCS - «Мультикарта», «КартСтандарт». Кроме того, UCS для банков организует выпуск карт, для розничных организаций - эквайринг карт основных платежных систем Visa, MasterCard, UnionPay, JCB, российской платежной системы «Золотая корона». До 11 июля 2014 года гендиректором UCS был Владимир Комлев, возглавляющий теперь НСПК. С 1 апреля 2015 года все внутрироссийские операции по картам всех платежных систем переведены на процессинг в НСПК, включая операции UCS, но поскольку UCS осуществляет процессинг на стороне банков (за каждый пятый банк), у компании осталась возможность зарабатывать.
Сбой в UCS 21 августа превзошел масштабы сбоя в НСПК 29 апреля 2015 года, указывает газета. Тогда из-за сбоя в системе ЦБ не обслуживались операции по картам MasterCard и Visa на протяжении более чем четырех часов.
По информации UCS, сервисы, которые они предоставляют, были недоступны 238 минут во второй половине дня 20 августа и 305 минут в ночь на 21 августа.
По словам сотрудника одного из банков - клиентов UCS, 20 августа система работала некорректно почти на час дольше. «Уже после получения официальной информации о восстановлении сервисов от UCS наши процессинги не смогли корректно обработать тысячи операций клиентов», - поясняет он, заключая, что «отказ в предоставлении платежного сервиса по картам такой длительности является беспрецедентным событием».
ЗАО «Компания объединенных кредитных карточек» (UCS) - крупнейшая в России процессинговая компания, основные бизнес-направления которой включают эмиссию и эквайринг пластиковых карт таких международных платежных систем, как: VISA International, MasterCard Worldwide, Diners Club International, JCB International. Широкая линейка решений, которые сегодня предлагает компания, тесно связана с процессингом кредитных карт. Компания является одним из лидеров рынка более 30 лет. Преимущества UCS, как специализированного процессора, позволяют оказывать наиболее качественный и полный сервис всем клиентам, для которых выпуск или прием карт в оплату является стратегически важным.
Задачи проекта
Стандарт PCI DSS разработан в целях повышения уровня обеспечения безопасности в индустрии платежных карт и сформулирован в 12 требованиях. Организации, которые производят обработку и хранение информации о держателях платежных карт и работают с международными платежными системами, должны каждый год подтверждать соответствие защищенности своих платежных систем требованиям стандарта PCI DSS.
Когда международные платежные системы обязали своих клиентов соответствовать требованиям стандарта PCI DSS, направленным на повышение уровня обеспечения безопасности клиентских данных, компания UCS одной из первых начала вести работу по усовершенствованию систем информационной безопасности. Руководство компании приняло решение о приведении процессинговой системы в соответствие с требованиями стандарта PCI DSS.
Несоответствие требованиям стандарта наблюдалось по следующим параметрам:
- отсутствие некоторых средств защиты информации, требуемых PCI DSS;
- отсутствие возможности реализации требований стандарта техническими средствами;
- недостаточная документированность процессов управления информационной безопасностью.
Исполнителем проекта была выбрана компания «Инфосистемы Джет» – одна из немногих, обладающих необходимыми для проведения аудита на соответствие PCI DSS статусами Qualified Security Assessor (QSA, для аудита) и Approved Scanning Vendor (ASV, для сканирования сети), а также практическим опытом.
Кроме того, у компаний уже был опыт успешной совместной работы – крупный проект по построению дата-центра «под ключ».
Работа над проектом строилась в три этапа: первоначальный анализ соответствия требованиям стандарта, устранение несоответствий и внедрение необходимых организационно-технических мер защиты, сертификационный аудит.
Первый этап проекта включал в себя предварительную экспертизу процессинговых систем компании UCS. Были обследованы ИТ-система, технологические и бизнес-процессы компании, а также их взаимодействие.
Игорь Ляпунов , начальник Центра информационной безопасности компании «Инфосистемы Джет», подчеркнул: «Мы провели полномасштабное обследование, которое потребовало большого количества ресурсов, в том числе, человеческих. Мы собрали огромное количество данных, опросили не один десяток сотрудников, согласовали полученные данные – таким образом мы собрали всю необходимую информацию для второго этапа».
Обследование выявило несколько несоответствий требованиям стандарта PCI DSS, например, существовала проблема с внесением изменений в платежную систему – был высок риск нарушений в ее работе. Поэтому в рекомендациях по устранению несоответствий были учтены и эти моменты. По рекомендациям был разработан план приведения в соответствие, содержащий конкретные действия по удовлетворению всех требований.
Второй этап начался с анализа рисков в работе ИТ-инфраструктуры, препятствующих выполнению некоторых требований стандарта PCI DSS. По результатам анализа консультанты компании «Инфосистемы Джет» предложили ряд компенсирующих мер. Эти меры позволили удовлетворить требования PCI DSS, а также сократить затраты заказчика, не уменьшив уровень безопасности.
В рамках второго этапа специалисты компании «Инфосистемы Джет» выполнили проектирование и внедрение комплекса организационных и технических решений для защиты данных о держателях платежных карт. Они разработали необходимую документацию, выполнили внедрение процессов управления информационной безопасностью, требуемых стандартом: процессы управления рисками, инцидентами и уязвимостями. Был реализован ряд технических решений, требуемых PCI DSS либо выступающих в качестве компенсирующих мер:
- внедрена система обнаружения вторжений;
- создана система сквозного мониторинга событий ИБ;
- создана система контроля целостности на всех этапах работы с данными;
- проведена сетевая сегментация;
- внедрен процесс управления инцидентами.
Особое внимание было уделено решениям по управлению доступом к информации и информационным ресурсам.
Многие действия приходилось выполнять «по-живому» – без остановки даже отдельных компонентов – ведь работу процессингового центра остановить нельзя.
Дмитрий Сидоров , директор Дирекции IT UCS, заметил: «Мы пользовались технологией параллельных решений, когда новый процесс внедрялся параллельно со старым, велась верификация результатов старого и нового процессов, и если результаты верификации совпадали, то новый процесс уже внедрялся на место старого. Ни одного серьезного сбоя не было».
При реализации проектов, затрагивающих изменение привычных для пользователей бизнес-процессов, очень важным аспектом является работа с коллективом, особенно участие руководства компании-заказчика в проекте, донесение и разъяснение сотрудникам важности и необходимости такой перестройки. Руководство UCS принимало активное участие в проекте, что во многом способствовало сплочению коллектива и скорейшему разрешению любых проблем.
Третий этап проекта – проведение независимого аудита на соответствие требованиям стандарта PCI DSS – был выполнен отдельной командой сертифицированных специалистов компании «Инфосистемы Джет». Аудиторы заполняли анкеты, проводили интервью, проверяли внутренние документы компании и настройки средств защиты информации. По итогам аудита было дано подтверждение соответствия процессингового центра компании UCS требованиям стандарта PCI DSS.
Отчет о проведенном аудите был отправлен экспертам компаний VISA и MasterCard, которые подтвердили статус соответствия компании UCS международному стандарту PCI DSS.
Компания «КОКК» (UCS) одной из первых в Российской Федерации получила сертификат соответствия, свидетельствующий о полном выполнении требований последней версии стандарта PCI DSS 1.2.
Теперь «КОКК» отвечает постоянно растущему уровню требований клиентов и партнеров, а также может свободно оперировать на западном рынке.
Более того, требования стандарта PCI DSS во многом пересекаются с требованиями СТО БР и “Закона о персональных данных”, которому должны соответствовать все организации, обрабатывающие персональные данные. Поэтому некоторые внедренные организационные и технические меры также помогают выполнению требований ФЗ-152 и стандарта СТО БР, а главное, обеспечивают реальную защиту клиентских данных.
Дмитрий Сидоров , директор Дирекции IT ЗАО «Компания объединенных кредитных карточек»(UCS): «Сертификат на соответствие требованиям стандарта PCI DSS подтверждает высокий уровень защиты персональных данных в нашей компании. Он дает большие преимущества нам, и, что еще более важно – нашим клиентам. Среди них много крупных банков, каждый из которых может пойти по собственному пути развития бизнеса. И мы, в свою очередь, готовы сопровождать их на всех этапах. Например, теперь мы можем осуществлять полный аутсорсинг базы счетов банка, будучи уверенными в безопасности нашей процессинговой системы. Специалисты компании «Инфосистемы Джет» помогли нам достичь согласия с требованиями стандарта, и мы готовы рекомендовать их как экспертов высочайшего уровня».
Заявка на подключение
Заявка на подключение
UCS - United Card Service является компанией, входящей в группу Глобал Пейментс имеющей более чем 40-летний опыт в сфере всего, что связано с платежными картами. UCS стала правопреемницей ВАУ «Интурсервис» (коммерческое крыло сети гостиниц и магазинов «Интурист»), которая в 1969 году заключила первый в СССР договор об обслуживании карт таких международных платежных систем как American Express и Diners Club. Тем самым, она является старейшей организацией в России, работающей с процессингом пластиковых карт.
На данный момент этой компанией обслуживаются операции, проходящие с использованием платежных карт следующих международных и внутрироссийских платежных систем
Кроме того обслуживается отечественная система платежей «Золотая корона»
Что предлагает процессинговый сервис UCS.su
В предложение UCS входят два раздела услуг: «Для банков» и «Для торгово-сервисных предприятий».
Услуги для банков
Для первой категории предлагаются всеобъемлющий комплекс услуг по поддержке эмиссии (выпуску, обслуживанию и открытию счетов) банковских карт и их эквайрингу (механизму расчета за товар/услуги банковской картой).
Кроме того, сюда входят услуги подключения банкоматов и терминалов, организация приема платежей за услуги связи (мобильная связь, Интернет, ТВ), системы удаленного доступа и мобильного банка, а также организация круглосуточной клиентской поддержки.
Услуги для торговых предприятий и организаций, предоставляющих сервис
Для предприятий торговли или организаций предоставляющих различные услуги UCS предлагает организацию и поддержку всего спектра операций по приему банковских карт международных или российских (локальных) платежных систем с целью оплаты за товар или услугу. Компания берет на себя решение следующих задач:
Установку оборудования
. обучение персонала
Техподдержку клиентов
. организацию программ лояльности (выпуск подарочных и скидочных пластиковых карт)
Обслуживание топливных карт;
А также организацию приема интернет платежей через платежные карты (интернет-эквайринг).
Как подключиться к услугам сервиса UCS.su
Для подключения вашей торговой или сервисной организации к системе платежных карт необходимо для начала подать заявку на подключение
где вам предложат заполнить следующую анкету:
Либо обратиться с этой же целью в любой из филиалов компании, адрес которого с легкостью найдете в разделе «Филиалы»:
Для интернет-эквайринга существует два варианта подключения и несколько иная их схема:
Но в любом случае при заключении договора вам понадобятся нотариально заверенные уставные документы.
Что вы получите от работы с ucs.su?
Для заинтересованности коммерческих организаций достаточно данных неумолимой статистики: при расчете пластиковой картой человек тратит в магазине на 30-35% больше, чем при расчете наличными.
Людям же намного удобней ходить в магазин с тоненькой пластиковой картой, чем с пачкой денежных купюр, которые еще и могут стать банальной добычей грабителей. Кроме того, сегодня внутренняя политика государства создает все условия для уменьшения оборота наличных средств на руках у населения, а любым банковским организациям выгодно, чтобы не потраченные средства населения хранились у них на счетах, а не «под подушкой». Поэтому система безналичного расчета пластиковыми картами удобна для всех сторон.
В центральной Европе и Америке 90% расчетов за услуги или товар происходит с использованием платежных карт. На отечественных просторах эта система пока еще не настолько развита, но очень динамично растет.