Беттинг без опасности

Букмекерские компании и операторы рынка электронных платежей — клиентоориентированные сегменты бизнеса. Обе стороны стремятся создать пользователю максимально комфортные условия и защитить от несанкционированных списаний денежных средств. Ведущая роль здесь принадлежит операторам платежных систем. Лидеры этого рынка тратят сотни миллионов рублей, чтобы выстроить систему защиты. В основе модели безопасности группы QIWI как международные стандарты, так и собственные решения в области кибербезопасности. Какие механизмы защиты использует QIWI? Какова роль взаимодействия с клиентами в этом процессе? И почему известный каждому QIWI-терминал еще ни разу не удалось «взломать» публично ни на одном из форумов по практической безопасности? Во всех этих вопросах разбирался Betting Business Russia.

Цена безопасности

Электронные платежи в России уже давно уверенно теснят традиционные способы расчета. В течение 2010−2015 годов количество безналичных операций, совершенных гражданами РФ, выросло в пять раз, а их объем — в три раза. Об этом сообщил первый заместитель председателя Банка России Георгий Лунтовский на круглом столе в рамках XXV Международного финансового конгресса (МФК-2016).
 
Главная причина растущей популярности электронных платежей — легкость и простота их проведения. Наряду с комфортом пользователи выдвигают к операторам еще ряд требований. Среди них: скорость проведения транзакций, юзабилити сервиса, наличие приложений для различных платформ, удобство пополнения аккаунтов и размер комиссий.

Во главе рейтинга — безопасность. Каждый пользователь заинтересован в том, чтобы его «кровные» не стали добычей кибермошенников. Компании — лидеры рынка электронных платежей, в свою очередь, не жалеют ресурсов, чтобы защитить своих клиентов.

В 2016 году платежная система QIWI потратила на поддержание систем обеспечения безопасности 2,5% чистой прибыли. Аналогичная статья расходов в Сбербанке составила 1,5 млрд — немногим более 1% чистой прибыли.

По международным стандартам

Каждый участник рынка электронных платежей создает собственную модель безопасности, в которой можно выделить две составляющие:

• выстраивание системы защитных механизмов,
• организация взаимодействия с клиентами (техподдержка, соцсети).

К компании QIWI как партнеру Visa предъявляются повышенные требования безопасности, не говоря об обязательном соблюдении международных стандартов. QIWI проводит регулярные аудиты соответствия стандартам PCI DSS, ISO27002, утвержденные крупнейшими платежными системами.

В QIWI действует сложная модель мониторинга опасных для платежной сети событий. Она включает систему безопасности и управления событиями (SIEM) и центр безопасности (SOC). Каждый механизм работает и поддерживается непрерывно. SIEM в режиме нон-стоп анализирует сообщения, поступающие из разных источников, определяет уровень опасности, ложная тревога или реальная, выделяет наиболее угрожающие и оповещает операторов системы о сложившихся инцидентах и элементах сети, подвергшихся атакам. Механизм действия SOC легко описать двумя словами: объединишься — победишь. Он консолидирует защитные регламенты и процессы и позволяет максимально оперативно и эффективно реагировать на потенциально опасные события.

Критически важные внутренние ресурсы QIWI защищены с помощью усовершенствованной системы предотвращения вторжений (IPS). Все web-приложения защищены системой обнаружения атак и уязвимостей Wallarm, установленной в режиме блокировки, гарантирующей запрет на все несанкционированные или неоднозначные действия. Механика SSL-pinning, применяемая в мобильных приложениях QIWI, позволяет обезопасить пользователей от перехвата трафика, например, в Wi-Fi-сетях.

Команда QIWI — постоянный участник и регулярный финалист международных форумов по практической безопасности Positive hack days и многих других конференций в области информационной защиты. К примеру, известный каждому QIWI-терминал еще ни разу не удалось взломать публично ни на одном из форумов.

Нагрузка растет

Скорость проведения транзакций — еще одно ключевое требование пользователей. В секунду процессинг QIWI обрабатывает примерно 60 транзакций. В течение суток — около 5 млн, что сопоставимо с числом транзакций небольшой европейской страны.

При любых финансовых операциях иногда возникают задержки в прохождении платежа. Они не зависят от скорости его обработки и могут быть вызваны скоростью прохождения реестров, платежей между другими банками и еще множеством внешних причин.

Количество операций традиционно возрастает в последних числах каждого месяца. Несколько ЦОД (дата-центров) QIWI, расположенных в различных местах Москвы, имеют несравненно больший потенциал нагрузки в обработке транзакций, чем компания обрабатывает даже в часы резкого роста количества операций.

ЦОД QIWI сертифицированы по стандарту PCI DSS, и один из них соответствует стандарту безопасности ISO 27001. За счет распределенного ядра процессинга система останется стабильной даже в случае полного выхода из строя одного из дата-центров. Платежная система готова выдержать 20-кратную нагрузку в стабильном режиме и до 100-кратной в пиках.

По сравнению с 2014 годом в 2015-м объем проведенных денежных средств в QIWI вырос на 26% — с 645,2 млрд рублей до 872,6 млрд рублей. По итогам 2016 года этот показатель составил 846,9 млрд рублей.

Обратная связь

По «горячим» вопросам клиенты QIWI обращаются в службу техподдержки. Просят помочь решить такие проблемы, как ошибочное пополнение «Visa QIWI Кошелька» или ошибочный платеж. Интересуются, для чего необходимо менять пароль так часто и почему он должен быть таким сложным. Запрашивают информацию по статусам платежей, совершенных как из аккаунта «Visa QIWI Кошелька», так и через терминал (успешные/неуспешные платежи, платеж не дошел конечному получателю).

Если вдруг платеж не дошел, а в QIWI он обозначен как успешный, в службе поддержки сообщают пользователю код платежа. По коду операции компания, в которую отправлен платеж, сможет найти его у себя и проверить.

Если платеж выманили мошенники, следует подключать правоохранителей. Как это сделать, расскажут не только в службе поддержки, но и в соцсетях.

В социальных медиа у QIWI примерно 300 тыс. подписчиков. На своих страницах компания регулярно рассказывает о новых схемах мошенников, предупреждает, как не попасться на их уловки, в характерной для соцсетей неформальной обстановке знакомит читателей с подробностями жизни компании, делится планами на будущее.



Автор:   Евгений Иваниченко