Блог → Заметки об организации платёжного Интернет-шлюза

Попался мне в руки любопытный документ о внедрении платёжного Интернет-шлюза для некой организации, называть которую нет нужды. Документ любопытный, и если тема вам близка, думаю что почитать его будет интересно. Итак, без вступлений и предисловий - поехали!

Характерной особенность процесса внедрения "Единого платежного решения" является то, что потенциальный заказчик - коммерческий блок, который не особенно представляет что это такое, сводя вопрос к безусловно необходимому шлюзу для альтернативных форм платежей. В компании считают, что всё это относится только к платежам через Интернет, и совершенно не видят нового звена в эквайринге внутри компании, равно как и вытекающих из этого последствий. Есть презентация IT блока, поддерживающая это заблуждение и определяющая задачи, относительно небольшое финансирование и, безусловно, высокий экономический эффект.



Если кому трудно читать написанное, то предлагаю посмотреть сразу выводы, а затем принять решение о прочтении. Все многостраничье презентаций, техзадания для конкурса и полученные тома предложений оферентов можно свести с 6 функциональным блокам. Кратко перечислю их.

Блок 1. Платежный шлюз для альтернативных форм платежей (АФП). Альтернативные форма платежей – это платежи, напрямую не связанные с карточными платежами Международных платежных систем (МПС). К АФП относятся все разновидности электронных денег, банкоматы, платежные терминалы, онлайн банкинг, офисы Почты России, банков и кассы розничных сетей.

Блок 2. Предпроцессинг. Маршрутизация всех транзакций по международным платежным системам. Направление каждой платежной транзакции на эквайринг в тот банк, который обеспечивает наименьшую стоимость транзакции.

Блок 3. Бэк-офис. Сводит операции первых двух блоков, обеспечивает отчетность и данные для взаиморасчетов, претензионную работу и сверку валовых отчетов.

Блок 4. Предполагается избавиться от IPSP (Internet payment service provider) компаний и вести интернет эквайринг самостоятельно. То есть направлять самим данные по карте в банк-экваер и осуществлять функцию борьбы с мошенничеством (fraud prevention).

Блок 5. Прямо следует из блока 4. Разработка набора - каскада алгоритмов для осуществления fraud prevention.

Блок 6. Вытекает из блока 2 и блока 4 – прохождение аудита и получение сертификата по PCI DSS (payment card industry – data secure service).

Какие стоят вопросы: 1. Все ли блоки равнозначно нужны? 2. Каковы последствия от внедрения каждого блока? 3. Насколько корректно поставлена задача? 4. Корректно ли отражена инвестиционная составляющая презентации о ЕПР? 5. Сроки реализации, соответствуют ли заявленные реальным? 6. Какие текущие затраты возникают на обслуживание своего платежного решения? 7. Есть ли альтернативы, позволяющие иметь тот же сервис с меньшими затратами и не меньшей эффективностью? 8. Есть ли дополнительные риски для компании, не учтённые в наброске бизнес-плана?

Теперь подробнее о каждом из блоков, точнее - комментарии к каждому блоку, примерная стоимость и эффект от их внедрения.

Блок 1. Платежный шлюз для альтернативных форм платежей (далее - АФП). 100% - за. Нужен однозначно и давно. Добиваюсь его вот уже почти 5 лет. 100 тысяч долларов и два месяца на внедрение с "отбивкой" за три месяца. Получение новых заказчиков/покупателей.

Блок 2. Предпроцессинг. Маршрутизация всех транзакций. Реализация данной функции потребует определенных времени и денег. Далее потребует поддержки, сопровождения и персонала, в том числе call center (3 человека в смену – 16 в штат). Но, что существенно, приведет к необходимости получения PCI DSS так как количество обработанных карточных транзакций превысит норму, до которой PCI DSS получать не нужно. Аудит и процедура сертификации по PCI DSS , по данным экспертов рынка составляют не менее 800 тысяч евро и требуют 8-9 месяцев для профессиональных организаций. Таких денег в абрисе бизнес-плана нет и сроки тоже иные. Надо иметь в виду, что после подписания договора с победившим оферентом потребуется до 8 месяцев на разработку, внедрении и тестирование. Затем только можно начинать процедуру по PCI DSS. Соответственно оптимистический срок – 1,5 года.

Блок 3. Бэк-офис. Нужен. Но в конкурсном задании поставлена задача на полноценный бэк с полноценными деньгами на разработку. А как же закупленный Сайрекс? Может ли Сайрекс исполнять данную функцию? Может, нам необходим просто шлюз, транслирующий в Сайрекс информацию по 1-му и 2-му блокам?

Блок 4. IPSP (Internet payment service provider). Не каждый банк имеет собственный функционал IPSP. Отказаться от уже осуществляемых услуг ради чего? Снизить транзакционные издержки? Но это задача решается путем заключения прямого контракта с IPSP, причем на конкурсной основе. Снизить радикально стоимость их услуг, уйти от десятых долей процента к фиксингу в 10-20 центов. Вторая часть, фрод. В презентации говорится о радикальном снижении фрода. Ну у нас фрод и так аномально низкий. Реальные потери у компаний - в районе 0,1%. В нашем жёстком по данной части договоре с банком стоит 0,5%, что кратно ниже отраслевых показателей. Повышение фрода на 0,1% будет стоить, при сегодняшних оборотах, 12 миллионов рублей в месяц. Возникает вопрос, на какое структурное подразделение возложить этот риск, когда мы будем делать всё сами. Кроме инвестиционных возникнут ещё текущие издержки (вместо IPSP компании), в том числе на круглосуточную дежурную смену из 2-3 человек по фрод мониторингу (всего 10-12 в штат).

Блок 5. Разработка набора - каскада алгоритмов для осуществления fraud prevention. Это ноу-хау каждой компании. Так известный российский процессинг декларирует каскад из 60 алгоритмов, а у нас – 200 алгоритмов. Это вечное соревнование брони и снаряда будет требовать постоянной доработки, реакции на новые форма действий мошенников.

Блок 6. Прохождение аудита и получение сертификата по PCI DSS (payment card industry – data secure service). Данная процедура не только требует 800 тысяч евро и 8-9 месяцев, но и ежегодного подтверждения. Соответственно нужен специалист, работающий с аудиторами из Германии и ведущий все отношения по сертификации с VISA и MASTER. Трудность получения сертификата и в том, что аудируется не маленькая компактная компания типа IPSP или процессингового центра. Не надо забыть и про выделение отдельного помещения с защитой и контролем доступа под серверную, отдельно под данный пункт, отдельного канала связи. При этом площадка должна быть сдублирована, ибо прекращение работы по причине отсутствия электропитания, сбоя кондиционеров или иного будет означать остановку всех карточных платежей.

Далее переходим к вопросам. По пункту 1-3 вопрос так или иначе уже затронуты. Вопрос 4 - корректно ли отражена инвестиционная составляющая презентации о ЕПР? Отражена была сумма, необходимая на разработку, в размере 0,5 млн. долларов. Стоял вопрос об отсутствии данной суммы в бюджете. Предложения оферентов уже находятся в рамках 0,65-0,9 млн. долларов. Не учтено инвестиций: от 0,5 млн. до 1 млн. долларов на "железо" (с учётом дублирующей площадки, отсутствие которой обойтись дороже - при остановке всех карточных платежей для компании, потери выручки составят 3 миллиона долларов в день. Плюс расходы на оборудование помещений с контролем доступа), расходы не прохождение аудита и прохождение сертификации по PCI DSS – 1 млн. долларов, ну и напомню, что мы отказываемся от услуг сторонних call центров – следовательно, расходы на создание своего центра от 4 рабочих мест и 3 рабочих места под фрод мониторинг. В защищённой зоне. Вопрос 5 - сроки реализации, соответствуют ли заявленные реальным? К срокам, заявленным оферентами, необходимо добавить сроки на ввод и устранения и доработки. Далее, за исключением шлюза под АФП, необходимо пройти аудит и сертификацию, что требует порядка 8-9 месяцев после приемки. Соответственно речь может идти о конце 2011 года. Что, заодно, требует продисконтировать проект вложения на величину стоимости денег для компании. Вопрос 6 - какие текущие затраты возникают на обслуживание собственного платёжного решения? В презентации затраты на поддержку решения оцениваются в 0,1 млн. долларов. Не учтены текущие затраты: аренда двух помещений в защищённой зоне с контролем доступа для оборудования, аренда помещений для call center по платежам и для размещения сотрудников 7/24 службы фрод мониторинга, амортизация оборудования (срок службы серверов на столь ответственном направлении не более 5 лет, соответственно и амортизация составит от 100 тысяч долларов при одной площадке до 200 тысяч долларов в год при сдублированных площадках), зарплата персонала - 10-12 человек на фрод-мониторинг и 16 человек на call center (нужно отметить, что это люди с квалификацией, которых мало на рынке, так что при зарплате, минимум в 2 тысячи долларов в месяц ФЗП составит 0,8 млн. долларов в год без учёта руководителей и социалки, а этого в бюджете проекта тоже нет). Вероятно, необходим сменный инженер – ещё 4 человека. Вопрос 7 - есть ли альтернативы, позволяющие иметь тот же сервис с меньшими затратами и не меньшей эффективностью?

Ну и, наконец, выводы. Инвестиционные затраты значительно превысят заявлены, реализация предложенным способом "Единого платёжного решения" потребует от 2,7 млн. долларов инвестиций. Текущие затраты десятикратно превысят заявленные и составят от 1,5 млн. долларов в год. Упущенной выгоды от отказа от реализации ЕПР путем формирования собственного центра, так как решение имеет альтернативные варианты, не требующие инвестиций и, как минимум, не выше по затратам. Реализация ЕПР дает эффект упущенной выгоды в связи со значительно смещёнными сроками начала работы функционала предпроцессинга в целях in-house эквайринга. Риски, которые берет на себя заказчик - весьма значительны, от крупных штрафов вплоть до прекращения платежей по картам. В-целом представляется сомнительным создание межбанковского процессинга в небанковской организации.

В связи с выводами, можно сформулировать следующие предложения. Проинвестировать только в платежный шлюз для альтернативных форм платежей и шлюз передачи данных в бэк-офис. Ограничить объем инвестиций 100-150 тысячами долларов. Провести тендер по оказанию услуг IPSP компаний и заключить прямой договор. Провести тендер на оказание услуг по маршрутизации данных по кредитным картам в банк, или в банки, эквайеры. Рассмотреть возможность создания дочерней компании в виде СП с профессионалами рынка.