Всего за 599 руб. Купить полную версию
8. Ориентировочная стоимость проектов программы развития ИТ-архитектуры (с указанием полной стоимости внедрения и последующей стоимости обслуживания).
9. Список проектов высокого приоритета.
Работа по управлению ИТ-архитектурой должна осуществляться в рамках этих документов.
6.7.4.2. Банк выстраивает целевую ИТ архитектуру с учетом следующих принципов.
Функциональные принципы.
1. Отделение каналов взаимодействия с клиентами банка от систем Мидл– и Бэк-офиса.
2. Мультиканальный подход к управлению взаимодействием с клиентом (принцип единого окна).
3. Максимальная унификация клиентских сервисов в каналах взаимодействия.
4. Выделение функциональности построения аналитической отчетности из систем операционного уровня.
Архитектурные принципы.
1. Преимущество существующих систем над новыми при прочих равных условиях.
2. Преимущество индустриальных решений над собственной разработкой.
3. Подход к управлению сквозными бизнес-процессами на платформе BPMS[65] (с учетом высокоуровневой бизнес-логики).
4. Унификация приложений в целевой архитектуре (для решения аналогичных бизнес-задач, приоритет целостных решений).
5. Централизация программных приложений (с возможностью их удаленного использования), где это возможно.
Интеграционные принципы.
1. Интеграция приложений в соответствии с принципами сервисно-ориентированной архитектуры (SOA) – слабо связанных, заменяемых компонентов, оснащённых стандартизированными интерфейсами для взаимодействия по стандартизированным протоколам.
2. Вынесение интеграционной логики из приложений в рамках бизнес-процессов, подверженных частым изменениям, и ее реализация на базе интеграционной платформы; организация интеграционных взаимодействий между системами операционного уровня через сервисную шину.
3. Единый стандарт интеграционных решений – использование единого стандарта для всех сообщений, циркулирующих по интеграционной шине.
6.7.4.3. Особые условия построения ИТ-архитектуры банка и технологий.
6.7.4.3.1. Для целей минимизации операционных рисков банк стремится максимально автоматизировать все, операции осуществляемые в ручном режиме.
6.7.4.3.2. Для целей минимизации рисков несанкционированного доступа к системам банка и минимизации рисков несанкционированных операций банк стремится использовать технологию единого входа сотрудников (Single Sign On), при которой уволившийся сотрудник автоматически не сможет пройти аутентификацию ни в одной системе банка.
6.7.4.3.3. Обязательность наличия единого хранилища данных (DWH – Data Warehouse).
Для обеспечения доступности аналитической, статистической и финансовой информации, используемой для расчета показателей и формирования управленческой отчетности, банк формирует единое хранилище данных (DWH – Data Warehouse), специально предназначенное для подготовки отчётов и бизнес-анализа:
• информация о клиентах, контрагентах банка и их операциях;
• информация о финансовой и хозяйственной деятельности банка (в т. ч. его убытках);
• информация о конкурентах банка и внешней среде, которая может оказать влияние на банк;
• другие виды статистической и финансовой информации.
6.7.4.3.4. Технологические требования к операциям акцепта[66]:
• обособление в АБС[67] процедуры акцепта значимых операций, без прохождения которых операции в АБС технически не смогут быть исполнены;
• обособление в АБС групп доступа на акцепт значимых операций;
• обеспечение возможности проведения акцепта операций самим клиентом в АБС (защищенного акцепта):
• С помощью кодов подтверждений по SMS, которые автоматически генерируются АБС, направляются клиенту по SMS, после чего получаются от клиента и автоматически проверяются АБС. Операция технологически может быть исполнена в АБС только при совпадении отправленных и введенных в АБС кодов. Такая проверка может применяться как для подтверждения интернет-операций, так и для подтверждения операций при личном обращении клиента (операционист получает код от клиента и вводит его в АБС, при этом должны быть предусмотрены особые процедуры верификации клиента для случаев, когда клиент не имеет с собой телефона, на который отправляются SMS коды).
• С помощью банковской карты, ранее выданной клиенту. При этом происходит идентификация карты и ПИН-кода в терминале без такой идентификации операция технически не может быть выполнена в АБС.
• С помощью биометрических характеристик клиента, автоматически обрабатываемых АБС (отпечатка пальца, ключевых точек лица, сетчатки глаза и пр.) – в случае если такое решение принято банком.
6.7.4.3.5. Уведомление клиентов по SMS о проведении значимых операций:
• бронирование в кассе денег к выдаче на следующий день в сумме, превышающей 1 млн руб.;
• попытка осуществления клиентом дистанционной операции, а также очной операции на сумму свыше 1 млн руб.;
• любое изменение персональных данных клиента, используемых для его верификации (прежде всего образца фотографии, скана паспорта, контактного номера телефона, в т. ч. мобильного телефона, который может использоваться банком для проверки правомочий лица и т. д.);
• выпуск новой банковской карты;
• регистрация заявки на выдачу ссуды[68].
В банке должны быть предусмотрены процедуры немедленного приостановления несанкционированных операций по счету для случаев, когда в банк поступила информация о том, что операция клиентом не производилась.
6.7.4.3.6. Максимальное технологическое ограничение доступа сотрудников банка для ручных операций во внешних АБС[69].
1. Доступ сотрудников банка к внешним АБС должен быть максимально ограничен.
2. Внешняя АБС должна исполнять платежи только на основании защищенных транзакций, автоматически выгружаемых из внутренней АБС.
3. Все операции, заводимые сотрудниками банка вручную, в том числе изменение параметров плановых операций (например, плановые безакцептные списания), должны производиться сотрудниками банка во внутренней АБС. Каждая операция должна сопровождаться обязательным акцептом контролера во внутренней АБС.
4. В случаях когда доступ ко внешним АБС не может быть ограничен, должны быть предусмотрены процедуры особого контроля всех операций, производимых сотрудниками во внешних АБС, и процедуры их последующей сверки.
6.7.4.3.7. Запрет красного сальдо – расходных операции (техническая невозможность их совершения), если в результате операции расчетный счет примет отрицательную величину.
6.7.4.3.8. Использование электронных досье клиента[70].
6.7.4.3.9. Развитие системных средств минимизации рисков дистанционных операций клиентов физических и юридических лиц (операций с банковскими картами, интернет-операций, операций клиент-банк):
1. Обеспечение круглосуточного мониторинга (fraud-monitoring) транзакций. Исключительные полномочия по выполнению этой функции должны быть возложены на конкретные подразделения.
2. Использование для банковских карт процедуры дополнительного подтверждения интернет-транзакций по протоколу 3-D Secure, MasterCard Security Code (MCC), Verified by Visa, J/Secure. Настройка авторизации банковских карт с чипом в POS-терминалах и банкоматах – только посредством авторизации через чип (т. е. запрет авторизации через магнитную полосу).
3. Использование банковских карт с чипом.
6.7.4.3.10. Дополнительная фиксация фактов проведения крупных операций (например, на сумму свыше 1 млн руб.) с помощью дополнительных технических средств.
1. Сканирование документов. Например, при получении клиентом суммы свыше 1 млн руб. может производиться дополнительное сканирование страницы паспорта клиента с фотографией (с возможным отображением на экране АБС одновременно двух сканов – сделанного при открытии счета и предъявленного сейчас). Скан должен сохраняться с датой и местом создания и данными сотрудника, его создавшего.
2. Видеозапись. Например, при получении клиентом суммы свыше 1 млн руб. может автоматически производиться видеозапись в фоновом режиме с веб-камеры операциониста, изначально направленной в клиентскую сторону.
3. Фотографирование. Например, при оформлении клиенту кредита осуществляется его фотографирование.
6.7.4.3.11. Банк обеспечивает централизованный учет всех ИТ-систем и закрепляет каждую ИТ-систему за соответствующим владельцем.
По каждой ИТ-системе банк назначает департамент (владельца ИТ-системы), который отвечает за организацию и осуществление эффективной работы в этой системе. Все доработки ИТ-системы, формирование методологических документов осуществляются по инициативе владельца ИТ-системы, который при необходимости привлекает иных экспертов внутри банка, формирует бизнес-требования, контролирует их исполнение. Владельцем ИТ-системы не может быть назначено ИТ-подразделение (если только ИТ-подразделение не является исключительным пользователем такой системы).