Безопасность карточного бизнеса : бизнес-энциклопедия
Шрифт:
Лицо, получающее карты, должно быть надлежащим образом идентифицировано сотрудниками охраны в процессе получения доступа на территорию БП. Для того чтобы осуществить передачу или прием материалов, необходимо письменное распоряжение руководителя БП.
Клиент (курьер, осуществляющий транспортировку карт и ПИН-конвертов) заранее уведомляет контактное лицо в БП о своем планируемом визите с указанием ФИО и даты/времени визита. Сотрудники охраны БП уведомляют уполномоченного сотрудника HSZ о необходимости произвести прием/передачу груза.
Курьер проходит через тамбур в помещение ожидания и в порядке очереди проходит в помещение приема/передачи (GTT). Сотрудники охраны разблокируют внешнюю дверь GTT, предоставляя клиенту возможность открыть ее и пройти в помещение.
Когда посетитель (курьер) проходит внешнюю дверь GTT, сотрудники охраны из мониторной блокируют внешнюю дверь. Далее сотрудники БП разблокируют среднюю дверь, предоставляя курьеру доступ к участку упаковки, в котором размещен груз, готовый к передаче (отгрузке). Сотрудники БП через бронированное окно передают курьеру необходимые сопутствующие документы и забирают подписанную им копию, подтверждающую факт получения груза. Посетитель под наблюдением камеры пересчитывает полученные карты и ПИН-конверты и забирает их вместе с сопроводительными документами. Далее посетитель покидает помещение GTT, сотрудник БП блокирует среднюю дверь, а сотрудник охраны разблокирует внешнюю дверь, позволяя посетителю покинуть участок приема/передачи и выйти в помещение ожидания. Все вышеописанные действия должны регистрироваться системами видеозаписи посредством камер слежения.
Производственными помещениями называются участки БП, в которых осуществляются следующие виды деятельности с картами МПС и связанными с ними материалами и компонентами:
1) изготовление (для сертифицированных заводов-производителей) заготовок карт;
2) персонализация карт: эмбоссирование и кодирование магнитной полосы;
3) сортировка и раскладка карт и ПИН-конвертов (компоновка продукции);
4) хранение заготовок и персонализированных карт банков — клиентов БП;
5) передача карт и ПИН-конвертов клиентам;
6) внедрение микропроцессоров;
7) любая комбинация вышеперечисленных видов деятельности.
К этим помещениям МПС предъявляют повышенные требования в части безопасности. В них ни при каких условиях не разрешен несанкционированный доступ. Необходимо, чтобы все карточные продукты и их компоненты, хранящиеся в таких помещениях, были постоянно защищены посредством известных устройств безопасности, контролем доступа и применением строгих мер двойного контроля и процедур аудирования. МПС сертифицируют БП или здание на производство карт (для производителей-заводов) при условии, что контролирующие устройства доступа позволяют однозначно отслеживать перемещения персонала, анализировать протоколы доступа к компонентам карточных продуктов, постоянное разделение обязанностей сотрудников, независимость заданий и физическое разделение между несколькими зонами повышенной безопасности.
Базовые принципы доступа в производственные помещения БП:
• доступ в помещения зоны повышенной безопасности (HSZ) должен быть разрешен только для лиц, которым это действительно нужно с целью выполнения производственных задач;
• доступ и проведение работ во всех помещениях зоны возможны только как минимум двумя сотрудниками (dual control).
Особо следует отметить, что в составе БП имеется еще одно помещение, не являющееся производственным, — это комната охраны, или так называемая мониторная, которую мы уже упоминали выше. К помещению мониторной МПС предъявляет жесткие требования по безопасности, не менее строгие, чем к хранилищу БП (об этих требованиях будет рассказано ниже).
МПС рекомендуют БП иметь следующий минимальный набор производственных помещений в зоне повышенной безопасности HSZ:
1) хранилище (Vault);
2) серверная (Server room);
3) эмбоссерная (Embossing room);
4) комната генерации ключей (Keys room) [105] ;
5) комната распечатки ПИН-конвертов (PIN-mailer room);
6) комната уничтожения (Destruction room);
7) помещение подготовки к приему/передаче: раскладка и упаковка (package room).
105
Генерацию ключей можно осуществлять в серверной.
Все глухие окна в зоне должны быть из небьющегося стекла либо оборудованы стальными решетками; все открывающиеся окна в Зоне должны быть оборудованы контактными датчиками и металлической сеткой, препятствующей передаче материалов из зоны за пределы здания.
Каждое помещение зоны должно быть оборудовано датчиком движения, соединенным с системой сигнализации. Все двери помещений зоны должны быть оснащены датчиками и оборудованы доводчиками, звуковыми сигналами, активизирующимися автоматически при открывании двери более чем на 30 с.
Доступ к помещениям зоны должен быть только через шлюз или турникет либо другие устройства, уверенно гарантирующие строгое исполнение требования функциональности «проход по одному человеку» (one-by-one) и управляемые посредством логического подхода, биометрии или иными устройствами, обеспечивающими адекватный уровень безопасности.
Генерацию ключей можно осуществлять в серверной.
Активация входных/выходных дверей датчика СКД должна осуществляться картридером совокупно с работой ПО СКД, гарантирующим невозможность повторного прохода (anti pass-back) — если карта СКД зарегистрирована внутри помещения, невозможно по этой же карте еще раз войти туда же, сначала необходимо выйти.
Картридеры должны быть постоянно соединены с сервером, регистрирующим и протоколирующим все события с картами. Факты прохода через устройства контроля доступа и соответствующие им события ПО могут быть зарегистрированы сервером СКД только в конце цикла доступа входа/выхода. Цикл доступа в производственные помещения должен состоять по меньшей мере из следующих действий:
1) активация внешнего картридера;
2) открытие и закрытие первой двери шлюза или входа к турникету;
3) регистрация присутствия человека в шлюзе или помещении с управляемым турникетом;
4) открытие и закрытие второй двери шлюза/помещения с турникетом;
5) регистрация отсутствия человека в шлюзе или помещении с управляемым турникетом;
6) регистрация на сервере факта прохода человека и генерация события, гарантирующего невозможность повторного прохода (anti pass-back).
Шлюз — это заводская конструкция (в просторечии — «стакан»), предназначенная для обеспечения прохода с соблюдением режимов:
1) проход по одному человеку (one-by-one);
2) невозможность повторного прохода (anti pass-back);
3) контроль веса и объема проходящих лиц (невозможность пронести одним человеком другого на закорках под одеждой) (anti piggy-backing).
Согласно действующим требованиям МПС в шлюзе должна быть реализована так называемая мультифакторная аутентификация (карта СКД + биометрия: отпечаток пальца, сканирование радужной оболочки глаза, взвешивание).