Comments 37
HSMы у вас тоже суверенные?
Процессинг же от сторонней компании, вы не пишете, а скорее дописываете?
Не совсем так — бэк-офис у нас полностью собственной разработки, а вот фронтальная система — там ядро разработано ведущим российским вендором процессинга, но вендор сделал такое решение, что по сути оно представляет собой конструктор, который уже мы используем в соответствии с нашими бизнес-задачами, и мы пишем очень много кода кастомизации — там сотни тысяч строк кода.
Это устройство обладает огромным количеством средств физической защиты. Например, если попытаться её вскрыть, то сработают специальные датчики: температуры, влажности, движения. И память устройства сразу очищается.
Почему то вспомнились RG7xxx Thales HSM на нескольких Z80 и с защитой парой микриков на снятие крышки в которой полно было технологических отверстий.
Нее.. современные железки выглядят солиднее. Да и кто же позволит в них лезть/вскрывать при их стоимости.
Аналогично и с пин-падами. Первые экземпляры вообще не имели никакой защиты от вскрытия кроме плюхи эпоксидной смолы на плате.
не первые - то же.
Полно вижу Verifone SC5xx и SC8xx а там те же микрики на вскрытие. Впрочем, ключи в криптомодуле клавиатуры. Но подозреваю, что при желании их взять от туда не принципиально сложно. Хотя зачем. они только на данный терминал. Проще навесить на клавиатуру/ридер доп шпиона аппаратного.
Спасибо за отличную статью!
Проработал в финтеке 6 лет. О требованиях знаю не понаслышке. Вы еще поскромничали, что кроме надежности и доступности есть еще ряд требований отраслевого регулятора, которые зачастую выполнить не проще.
применяем в основном решения класса Open Source
У меня вопрос: как вы выполняете требования Open Source лицензий? Выдаете исходные коды по запросу клиентов?
Наверное, тут некоторое непонимание возникло, мы не модифицируем Open Source решения, мы их используем в своем процессе именно как полноценный продукт или библиотеки. Раскрывать свои исходные коды мы должны только в случае, если мы модифицируем Open Source решение для наших нужд.
Понятно. Спасибо!
Раскрывать свои исходные коды мы должны только в случае, если мы модифицируем Open Source решение для наших нужд.
Не так. Во первых, зависит от конкретной лицензии. Во вторых даже если это и копилефт лицензия, вы должны распространять изменения только если распространяете модифицированный код. Для собственного использования ничего раскрывать не надо.
Но конечно, нормальное воспитание требует чтобы если например исправили баг, то поделиться с обществом. ;)
Это устройство [банковская карта] обладает огромным количеством средств физической защиты. Например, если попытаться её вскрыть, то сработают специальные датчики: температуры, влажности, движения. И память устройства сразу очищается.
А как память банковской карты сразу очищается, если при вскрытии злоумышленник не будет подавать питание?
Речь не про то, что он будет с ней делать потом, а каким образом карта сразу очищается при вскрытии оставаясь обесточенной, понять не могут, может имелся ввиду другой сценарий?
Если раньше поставщики процессинговых решений были популярны на Западе, то что стало потом? Ушли с рынка, или эти компании теперь базируются за рубежом?
Если мы говорим про российских поставщиков — то они были популярны не только на Западе, но и в Азии. Все эти связи остались. Если речь именно про страны , которые ввели санкции против РФ, то там каждый вендор решает по разному, возможно кто-то разделяет бизнес, кто-то работает через азиатский рынок.
Ах ах - внезапно отключились Visa и MasterCard
Внезапно... в марте 22-го. Кто б мог подумать
Таких запросов множество — например, наша процессинговая система Мультикарта способна обрабатывать до 1000 транзакций в секунду, или 10–15 млн операций в день.
Че-то как-то маловато. Если сравнивать с нагрузкой на онлайн банки, то раза в четыре меньше.
И потом, я надеюсь, это масштабируется?
Тут надо понимать, что в ДБО и процессингах обычно рассматриваются разные транзакции.
В ДБО это запросы клиентов или транзакции в БД, в процессинге транзакция — это весь комплекс запросов и операций, прошедших от прикладывания карты к терминалу до получения ответа и выдачи товара или денег. В эту транзакцию входит и обращение в НСПК, и ко внутренним системам банка, процессинга, к HSM, системе противодействия мошенничества и т.д. По приблизительным оценкам реальных запросов к разным системах в рамках одной транзакции по карте набегает на порядок больше, поэтому по сути RPS там получается 10000.
Кто этот ведущий и куда ведет?
Если соглашение о неразглашении не позволяет называть партнеров, то так и скажите...
А пока налили ещё больше воды, чем в самой статье.
PostgreSQL конечно тоже SQL- база, но бесшовного перехода с Oracle ведь не случилось? Расскажите лучше как преодолели трудности этой миграции.
А мантры про Postgre Pro русская БД... Вы их перед своими ИБ-аудиторами пойте
В марте-22 внезапно отключились Visa и MasterCard
Затем такая сложность если можно развернуть свой блокчейн?
На серьезный разговор пока не тянет. Давайте про ISO8586, алгоритмы проверки пина, генерации пинблока, CVV1/2/3, чиповые криптограммы поговорим ) Или о том, что для нормального функционирования одной карты нужно штук 9 разных ключей (cmk, cvc, enc, mac, pek, pvk, etc...).
А еще есть PIN Update скрипты и всякие удалённые блокировки\разблокировки.
Хорошо вам с HSM, а кому-то приходилось все алгоритмы ручками по мануалам имплементить, а потом писать свой импортёр для TR-31:)
Несколько вопросов по поводу антифрода. Я сам работал в PSP. И антифрод на основе ML кажется очень ненадежной штукой. Обычно все используют скоринг.
Как вы понимаете почему платежную транзакцию заблочило на основе ML?
Вы блокирете или приостанавливаете ее?
Что дальше происходит после блокировки?
На основе чего вы ее научили? Данных для чардбеков кажется недостаточно
Это устройство обладает огромным количеством средств физической защиты. Например, если попытаться его вскрыть, то сработают специальные датчики: температуры, влажности, движения. И память устройства сразу очищается.
Как это раелизовано?
Я как-то интегрировался к вам 5 лет назад. API было одним из самых сложных на рынке (аналогичных интеграций было с 10ок). Что-то изменилось с того времени?
Это мы пишем и обслуживаем банковский процессинг, нам надо серьёзно поговорить