Создание Национальной системы платежных карт (НСПК) было весьма амбициозным проектом, реализация которого к тому же проходила в рекордно короткие сроки. И роль ИТ в данном проекте была во многом определяющей. Всё это стало предметом нашей беседы с директором Департамента ИТ компании НСПК Владимиром Трояновским.

Intelligent Enterprise: Как возникла НСПК?

Владимир Трояновский: «Спус­­ковым крючком» к нашему появлению стали действия международных платежных систем в отношении нескольких российских банков, которые подпали под санкции США. В итоге в конце марта 2014 года на несколько дней было прекращено обслуживание выпущенных ими карт в банкоматах и торговых точках.

Эти события показали, насколько наша финансовая система зависима от иностранных компаний, что делает ее уязвимой перед политическими рисками. Для того чтобы эти риски устранить, были внесены поправки в закон 161-ФЗ «О национальной платежной системе». Уже в мае 2014-го они были приняты Федеральным собранием и подписаны президентом. Одной из мер, предусмотренных в данных поправках, и стало создание Национальной системы платежных карт, что произошло 23 июля того же года. А уже 8 сентября НСПК начала работу.

НСПК делится на две части. Одна из них — операционный и платёжный клиринговый центр (ОПКЦ), который оказывает услуги международным платежным системам. Вторая — оператор национальной платежной системы «Мир», созданной в декабре 2015 года. Тогда же были выпущены первые карты.

За счет чего удалось добиться таких темпов развития?

Секрет успеха довольно прост: нам дали сделать то, что мы посчитали нужным. В компании работают высокие профессионалы, которые не только задают тон в российской платежной индустрии, но и активно участвуют в ее развитии в общемировом масштабе. Так что вопрос «как?» перед нами не стоял. Был разработан, а затем и построен по-настоящему уникальный программно-аппаратный комплекс. И залогом этого успеха являются люди и еще раз люди.

Но у нас до сих пор работают сотрудники, начинавшие строить компанию.

Мы задумываемся над тем, чтобы самим готовить специалистов в профильных вузах. Так уже довольно давно делают многие компании, причем перспективные студенты отбираются еще на младших курсах. Но тут придется конкурировать с другими организациями, среди которых и банки, и крупные ИТ-компании, выбравшие аналогичный путь.

Какова роль ИТ в столь динамичном вашем развитии, причем при относительно небольших затратах? Есть ли у вас какие-то ноу-хау?

НСПК можно смело считать ИТ-компанией хотя бы потому, что у нас нет никаких других активов помимо наших ИТ-систем.

При этом все ключевые системы мы с нашими партнерами строили сами: на рынке просто не существует готовых решений для создания платежных систем. Наверное, поэтому их не так много, и каждая из них представляет собой уникальное решение.

Нам пришлось создавать системы в условиях цейтнота, но мы справились. Скажем, коммутатор, отвечающий за обработку транзакций, был создан за семь месяцев, и в нём используется ряд ноу-хау. Например, технология in-memory cache. Мы не используем для обработки транзакций СУБД. Просто потому, что это слабое звено во всех смыслах — как в смысле надежности, так и в отношении безопасности, и появление соответствующих проблем лишь вопрос времени. Так что мы сознательно пошли на отказ от данного элемента в построении нашего операционного процесса. Хотя в других, менее критичных частях систем, СУБД все же есть.

В НСПК созданы два ЦОДа, задействованные в обработке транзакций. Оба они изолированы от публичного Интернета и соединены с банками с помощью выделенных зашифрованных каналов связи. Компания проходит ежегодную сертификацию на соответствие международному стандарту PCI DSS. Хотя могу сказать, что наши внутренние стандарты безопасности жестче.

Мир становится шире, и этого требуют новые системы, над запуском которых мы сейчас работаем. Среди них, например, программа лояльности или сервис платежей через Интернет с повышенной безопасностью Mir Accept. Сейчас в стадии строительства находятся еще несколько ЦОДов, в которых мы будем обрабатывать интернет-события. Акционер НСПК — Центральный банк — предъявляет повышенные требования к безопасности и непрерывности процессов, и эти требования заметно опережают те, что предусмотрены в стандартах TIER III и PCI DSS. ЦОДы для сервисов, требующих доступа в Интернет, будут строиться в полном соответствии со стандартом TIER III. Это достаточный для наших нужд и соответствующий нашим внутренним стандартам уровень.

Также мы стремимся везде, где это возможно, использовать ПО, распространяемое по модели FOSS (свободное и с открытым кодом). Подчеркну (так как это не все понимают), что FOSS и «бесплатное ПО» — отнюдь не синонимы, и мы платим за поддержку.

Как быстро вы можете запускать новые сервисы? Насколько в этом помогают методологические технологии вроде Agile или DevOps?

Да, мы используем эти технологии, причем очень активно. Хотя называть их новомодными я бы не стал. Как и мегапопулярная сейчас модель аналитики разбора больших данных, которая существует намного дольше, чем о ней стали широко говорить, эти подходы базируются на статистических методах.

Так что термины, вроде бы красивые и модные, уже долгие годы используются в жизни айтишников. DevOps — это неотъемлемая часть производственного цикла, от тестирования до ввода в эксплуатацию. Данная методология позволила нам существенно сократить время разработки ПО. А Agile мы и вовсе использовали всегда, сколько я себя помню, даже не подозревая о том. Не секрет, что в техническом задании физически невозможно учесть всё и вся, и без использования итеративной разработки при реализации любого более-менее масштабного проекта просто не обойтись. Хотя насчет сроков запуска новых сервисов однозначного ответа дать не могу. Это связано, как я уже говорил, прежде всего с тем, что не существует готовых решений. Многое зависит и от сложности сервиса. На запуск одного могут уйти недели, а на очень сложные, вроде программы лояльности, даже многие месяцы, причем дорабатывать их приходится на ходу. Тут речь идет или о полном цикле разработки, или об очень существенной адаптации под наши нужды.

Насколько сложно было организовать взаимодействие с зарубежными платежными системами?

У каждой платёжной системы свой подход к документированию технологических процессов, и при организации взаимодействия с ними мы должны были учитывать эти особенности.

После запуска системы «Мир» мы поставили перед собой задачу выйти на международные рынки и сейчас активно занимаемся развитием этого направления. Уже ведутся переговоры о возможности приема карт «Мир» в тех странах, которые пользуются популярностью у российских туристов, — например, в Турции, Таиланде. Да и сейчас можно использовать за рубежом кобейджинговые карты, которые выпущены совместно с другими платежными системами.

При этом надо понимать, что у всякой платежной системы есть свой жизненный цикл. Часто они появляются вопреки чему-то, и тут мы как раз являемся примером. Какие-то системы берут, что называется, числом, как, например, китайский UnionPay. Они выпустили несколько миллиардов карт, и с этим вынуждены считаться все. Так что для нас их опыт неприменим. По сравнению с UnionPay у нас пока нет такой большой базы карт и мы не можем похвастать двумя де­­сятками лет существования. Сейчас мы сами формируем свой путь. Думаем, что наше развитие пойдет быстрее.

Каким вы видите будущее своего бизнеса?

Сама карта как носитель информации о платежах просуществует еще долго. Хотя форм-фактор будет меняться. Уже сейчас функции платежных карт могут выполнять и часы, и телефоны, и разного рода мобильные устройства, и приложения. Так что функция карты как идентификатора будет ещё жить и жить, полноценной замены ей пока не придумано, есть лишь попытки ее нащупать. Ведь сколько карт уже выпущено, и о том, чтобы их быстро заменить на что-то другое, речи не идет.

С Владимиром Трояновским беседовал научный редактор IE Яков Шпунт