POINTER - FICHA TECNICA

Anuncio
Ficha Técnica
detect
effi
FICHA TÉCNICA
Página 1 de 9
Introducción
El Sistema Pointer es un producto de Predisoft (www.predisoft.com) cuyo propósito es la detección (en línea) del fraude que
sufren las instituciones financieras en tarjetas de crédito y de débito.
En términos generales, el sistema se implementa de forma sencilla, creando una interfaz entre el sistema autorizador de las
transacciones y la base de datos del sistema Pointer. En seguida deben construirse otras interfaces para implementar los temas
de acceso a información de clientes y en algunos casos (si así lo amerita la institución) a la seguridad centralizada (single signon). Por último, a través de un ambiente cliente/servidor se le permite a los usuarios en sus estaciones de trabajo realizar las
tareas de administración, seguimiento de alertas, definición de reglas de experto, impresión de reportes, etc.
Cabe destacar que Predisoft utiliza tecnología matemática para llevar a cabo la detección del fraude. Esta tecnología se
denomina Vector Simbólico, misma que mereció la medalla de oro como el premio a la innovación tecnológica por parte de la
Organización Mundial de Propiedad Intelectual, en Suiza.
Utilizando la tecnología del Vector Simbólico, el Sistema Pointer es capaz de condensar la historia transaccional de cada
tarjeta-habiente en una estructura de datos muy pequeña. Esto permite verificar cada nueva transacción contra la historia
transaccional de cada persona. El concepto fundamental es la búsqueda de la “atipicidad en el comportamiento”. Cuando dicha
atipicidad se detecta, el Sistema genera una alerta que es enviada al personal idóneo para su respectiva investigación.
Si bien el Sistema se basa fundamentalmente en la tecnología del Vector Simbólico, hace uso además de otras técnicas que
tradicionalmente se han utilizado para otros fines. Por tanto, las técnicas que incorpora el Sistema Pointer son las siguientes:
a) Vectores simbólicos, como tecnología matemática patentada por Predisoft.
b) Reglas de experto, lo cual permite la incorporación del conocimiento experto en el sistema, a través de reglas que
pueden crearse fácilmente por el mismo usuario.
c) Análisis del fraude histórico registrado.
A continuación se realiza una explicación gráfica de la arquitectura del sistema, desde la perspectiva técnica. Se inicia con un
diagrama general del mismo.
Propiedad intelectual de Predisoft, prohibida su reproducción total o parcial.
FICHA TÉCNICA
Página 2 de 9
Diagrama general
En seguida se presenta el diagrama general del Sistema, el cual se explica a de inmediato.
1.
Las transacciones se producen en la nube denominada “Transactions Source”, en la parte superior izquierda
del diagrama. Se refiere a la totalidad de las transacciones que ocurren, sin importar su origen o bien el canal
de atención al cliente por el cual se producen.
2.
Las transacciones son procesadas por el Sistema Autorizador de la institución, el cual reside en uno o varios
computadores denominados “Main Server”. Este proceso incluye: a) tomar la transacción, b) autorizarla o
negarla, según corresponde.
3.
Una vez suceda lo dicho en 2. las transacciones deben ser extraídas a través de un mecanismo (la
recomendación de Predisoft es utilizar un software probado y estable que garantice que no ocurrirá
contención de transacciones). Este mecanismo debe asegurar que toda transacción procesada por el sistema
autorizador llegue a la base de datos del Sistema (al servidor denominado “Pointer Data Base Server”). Se
Propiedad intelectual de Predisoft, prohibida su reproducción total o parcial.
FICHA TÉCNICA
Página 3 de 9
recomienda que esta base de datos resida en un servidor exclusivo para tal fin.
4.
Una vez las transacciones residan en la Base de Datos, inicia todo el proceso a cargo de componentes del
Sistema (que se ubican en el computador denominado “Pointer Application Server”). Un proveedor de
transacciones se encarga de hacer llegar las nuevas transacciones a una pieza del Sistema denominado
Generador de Alertas, para que haga varias verificaciones: a) análisis simbólico (vector simbólico), b)
análisis del fraude, c) análisis de cumplimiento de reglas de experto. Cualquiera de estos motores detectores
puede determinar que una transacción dada sea sujeta de generar una alerta (es decir, sea sospechosa).
5.
Una vez que el Generador de Alertas ha marcado una transacción como Alerta, esta se hace pública para el
Visor de Alertas. Un servidor (que podría residir en la misma máquina donde residen el Generador de Alertas
y el Generador de Vectores) se encarga de hacer llegar las Alertas a los usuarios investigadores a través de la
red de la institución.
Los Visores Clientes son el software que permite a cada investigador dar seguimiento a cada una de las alertas y registrar su
actividad.
El gráfico que se muestra en seguida, presenta los mecanismos que podrían utilizarse para obtener las nuevas transacciones,
conforme ocurren.
Propiedad intelectual de Predisoft, prohibida su reproducción total o parcial.
FICHA TÉCNICA
Página 4 de 9
Desde el servidor principal debe habilitarse el envío de transacciones hacia el servidor de la base de datos de Pointer. Lo ideal
es realizar esta tarea en línea, o muy cercano al momento de su ocurrencia. Existen varias opciones para hacer este traslado,
incluyendo MQSeries, DTS, Extractor Replicator, o construyendo una interfaz específica.
Por su parte, el esquema de hardware que utiliza el sistema es el que se presenta en seguida:
Básicamente se requiere de un servidor especializado en bases de datos y otro como servidor de aplicaciones. Podría optarse
por utilizar un solo servidor donde se instalen todos los componentes, sin embargo, las mejores prácticas apuntan por separar
ambos componentes en dos capas de hardware.
Por último, se muestra el esquema de ejecución del sistema, basado en un ambiente cliente/servidor.
Propiedad intelectual de Predisoft, prohibida su reproducción total o parcial.
FICHA TÉCNICA
Página 5 de 9
Esta gráfica ejemplifica la estructura de capas que conforman al sistema:
a) Una capa de datos, la cual reside en última instancia en el servidor determinado para tal fin.
b) Una capa de aplicación en la cual se encuentran las reglas del negocio.
c) Una capa de presentación que permite a los usuarios sus labores diarias.
Requerimientos mínimos de hardware y software
A continuación se incluye la información de especificaciones mínimas requeridas para armar un ambiente de pruebas o de
certificación previo a la puesta en producción del Sistema.
En segunda instancia se presentan las especificaciones mínimas para el ambiente en producción. Estos requerimientos deben ser
vistos como mínimos, y por tanto, como un punto de partida. Durante el proyecto debe hacerse una investigación detallada para
lograr (en conjunto) una especificación que sea acorde con los niveles transaccionales de la institución, con sus políticas de
respaldo y contingencia y con el nivel de histórico que quiera guardarse.
AMBIENTE DE PRUEBAS
Hardware
Propiedad intelectual de Predisoft, prohibida su reproducción total o parcial.
FICHA TÉCNICA
Página 6 de 9
Servidor de Aplicaciones para el Sistema.
Intel XEON 2.8 GHz
2 GB RAM
40 GB en delante de disco duro disponible.
Servidor de Base de Datos.
Se trata de una máquina destinada como servidor de base de datos. Se puede optar por usar la
misma máquina de Servidor de Aplicaciones.
Estación de trabajo para pruebas.
1 procesador Pentium IV de 1GHz en adelante. Mínimo 512 RAM.
20 GB de disco duro disponible.
Software
Servidor
Cliente y Servidor de Microsoft SQL Server 2000 Enterprise.
Estaciones de trabajo
Windows 2000 Professional, Windows XP o Windows 2000 Advanced Server.
Software para realizar acceso remoto desde la estación e trabajo al servidor.
Herramientas de cliente de Microsoft SQL Server 2000 Enterprise.
Comunicaciones
Tanto el servidor como los “clientes” deberán estar en un mismo dominio de Windows.
AMBIENTE DE PRODUCCIÓN
Hardware
Servidor de Aplicaciones.
2 a 4 procesadores Intel XEON 2.8 GHz (o superior).
2 a 4 GB de memoria principal.
80 GB de espacio en disco disponible (mínimo).
Servidor para base de datos
Por experiencias previas, se puede optar por dos caminos. Utilizar el servidor de aplicaciones de
Pointer también como servidor de base de datos, o bien, designar otra máquina especializada como
servidor de base de datos. Es probable que este segundo sea la configuración más apropiada.
En cualquiera de los casos, se debe hacer un trabajo de análisis para dimensionar la cantidad de
disco que se requiere para soportar la base de datos y las características de la máquina en términos
de memoria y procesadores.
Estaciones de trabajo
1 procesador Pentium IV de 1GHz en adelante. Mínimo 512 RAM.
20 GB de disco duro disponible.
Software
Servidor
Cliente y Servidor de Microsoft SQL Server 2000 Enterprise.
Estaciones de trabajo
Windows 2000 Professional, Windows XP o Windows 2000 Advanced Server.
Software para realizar acceso remoto desde la estación e trabajo al servidor.
Herramientas de cliente de Microsoft SQL Server 2000 Enterprise.
Propiedad intelectual de Predisoft, prohibida su reproducción total o parcial.
FICHA TÉCNICA
Página 7 de 9
Interfaces requeridas
Desde un punto de vista general, las siguientes son las interfaces que requiere el sistema Pointer dentro de la
arquitectura de la institución:
1.
Se requiere por una única vez hacer una extracción de datos histórica, siguiendo el formato de variables que
en su momento Predisoft entrega. Para confeccionar esta extracción de datos se requerirá un análisis, diseño y
programación de una aplicación que obtenga la información del o los repositorios idóneos. Esta extracción de
datos histórica es absolutamente requerida.
2.
Se requiere una interfaz que haga llegar cada nueva transacción de tarjeta de débito al Sistema Pointer, lo cual
es absolutamente requerido. Esto puede lograrse de varias maneras:
3.
a.
A través de una base de datos “puente” o “staging” que tiene la misma estructura que se documenta
en su momento. La tabla correspondiente debe residir dentro del mismo servidor de base de datos de
Pointer. La institución debe realizar un proceso de análisis, diseño y programación para llevar a cabo
esta interfaz.
b.
Una cola de MQSeries (tecnología IBM) que permite controlar la contención que puede producir una
alta cantidad de transacciones por segundo.
Se requiere una interfaz para tomar el nombre del tarjeta-habiente, así como su número (o números) de
teléfono y su correo electrónico. Esta interfaz es altamente recomendada. Para esto, se puede optar por una de
dos opciones:
a.
Crear un DTS que periódicamente haga un traslado de los datos mencionados desde el repositorio
donde se ubican hacia la correspondiente tabla de Pointer.
b.
Construir una interfaz en el visor, de manera que cuando se requiera obtener el nombre del cliente y
sus datos adicionales, se haga.
Según la experiencia de Predisoft la primera es la opción idónea, puesto que independiza al Sistema Pointer.
Además, la segunda opción tiene el inconveniente de que puede ocasionar problemas de tiempo de respuesta
cuando el repositorio donde están los datos esté muy saturado.
4.
Interfaz para comunicarse con el sistema autorizador. Esta es una interfaz opcional pero muy útil para los
usuarios. El Sistema Pointer podría avisar de algunos eventos al sistema autorizador con propósitos
específicos. Las opciones disponibles son:
a.
Indicar al sistema autorizador que bloquee definitivamente (cerrar) una tarjeta para que no permita
en lo sucesivo nuevas autorizaciones.
b.
Indicar al sistema autorizador que bloquee temporalmente una tarjeta.
c.
Indicar al sistema autorizador que habilite de nuevo una tarjeta previamente bloqueada.
En el caso que estas interfaces quieran implementarse, se debe tener en cuenta que la comunicación que se
establezca con el sistema autorizador debe ser bi-direccional. Es decir, Pointer debe tener una respuesta del
autorizador después de generada cada orden o petición de cambio.
Según la experiencia de Predisoft esta interfaz puede implementarse a través del uso de la tecnología
Propiedad intelectual de Predisoft, prohibida su reproducción total o parcial.
FICHA TÉCNICA
Página 8 de 9
MQSeries.
5.
Interfaz para hacer llegar a Pointer los datos de la descripción de los principales códigos que se relacionan
con las variables del modelo, tales como descripciones de países, de MCC’s de BIN’s, etc. Esta interfaz es
útil. Según la experiencia de Predisoft esta interfaz puede implementarse fácilmente utilizando tecnología de
DTS.
6.
Interfaz de datos que permita fácilmente alimentar a Pointer con los datos del fraude conforme este ocurre
(esto en el caso que el personal que reciba las reclamaciones de los clientes sea distinto al personal usuario de
Pointer). Esta interfaz es opcional ya que los usuarios podrían hacerlo de forma manual sin mayores
complicaciones.
Aspectos de seguridad
Existes múltiples aspectos de seguridad que se administran en el Sistema Pointer. En seguida se hace una exposición de los
mismos.
Módulo de Seguridad integrado.
Predisoft ha creado este módulo para configurar el nivel de seguridad para cada una de sus aplicaciones, en particular el
Sistema Pointer. El componente esta diseñado para definir los tópicos referentes al control de acceso y a la seguridad de la
aplicación, a saber, roles, políticas, horarios y otros aspectos relativos propiamente al control de acceso a una aplicación.
1. Usuarios privilegiados del Panel de Seguridad
El usuario root propietario del sistema de seguridad esta definido previamente como administrador dentro de la instalación de la
aplicación. El usuario administrador debe definir el conjunto de usuarios, roles y políticas de la aplicación.
2. Uso del Panel de Seguridad
Para ingresar por primera vez al panel de seguridad se debe usar la cuenta de usuario root. Si se desea se puede usar al usuario
root para administrar el sistema o se pueden crear más usuarios administradores del sistema. Debe especificar para cada usuario
creado que este va ha ser un administrador, ya que por defecto un administrador puede entrar sin restricciones de horario y su
cuenta no podrá ser desactivada en un inicio de sesión a menos que se está característica este presente en la instalación del
sistema.
Cuando se ingresa a la aplicación se cargan los permisos respectivos para ver los componentes o módulos del sistema, al
ingresar al panel de seguridad con la opción correspondiente se muestra una ventana para realizar los diversos mantenimientos
del panel de seguridad.
3. Panel de Seguridad
El panel de seguridad esta compuesto de una interfaz gráfica tipo lobby, esta permite realizar cada uno de los mantenimientos o
consultas sobre la seguridad de la aplicación. Se diseño un menú para el acceso a todas las características del sistema así como
una barra de herramientas que se encuentra a la izquierda de la ventana principal de la aplicación.
Por su parte, existen otros aspectos que se relacionan directamente con aspectos de seguridad, que se enumeran en seguida:
!
!
Políticas: conjunto de políticas que aplican sobre la cuenta y el password.
Horarios: conjunto de posibles horarios en los cuales es legítimo que los usuario se conecten.
Propiedad intelectual de Predisoft, prohibida su reproducción total o parcial.
FICHA TÉCNICA
Página 9 de 9
!
!
!
!
!
Usuarios: conjunto de personas que utilizan el sistema.
Roles: grupo de usuarios (agrupados con algún criterio lógico).
Contraseñas: permite la administración de los passwords de los usuarios.
Privilegios: cada acción del sistema es identificable y a cada usuario puede permitírsele acceder o no a una acción
específica.
Bitácoras: el sistema registra todo el movimiento realizado por los usuarios en una bitácora que luego puede ser
consultada y analizada. Existen múltiples propósitos por los cuales la bitácora es de mucha utilidad al momento de dar
seguimiento al sistema en producción.
Integración con algún sistema Single Sign-On.
El Sistema Pointer permite además integrarlo con algún módulo de seguridad centralizado, tipo Single SignOn. En este caso, lo
típico en estos casos es que la entidad cuente con un sistema centralizado de administración de los nombres de usuarios y
contraseñas. De esta manera, un sistema centralizado (en funcionamiento y administración) se convierte en prestatario de dicho
servicio, generalmente a través de Web Services.
En este caso, Pointer se puede instalar de manera integrada a dichos sistemas, de manera que la autenticación de usuarios queda
en control del sistema Single Sign-On. Una vez autenticado el usuario, se retroalimenta al Sistema de Administración de la
Seguridad de Pointer.
Pointer consume los Web-Services que el Sistema Single Sign-On pone a disposición de las aplicaciones en la institución. Para
otros métodos de comunicación, Predisoft ofrece su disposición para estudiar el caso y confeccionar los respectivos procesos de
integración.
Seguridad de las Interfaces de datos.
Dado que a Pointer deben llegar las transacciones (tarjeta de crédito y tarjeta de débito), se hace imprescindible que a la base de
datos que utiliza Pointer se le apliquen los más altos niveles de seguridad. Por esta razón, se aplican esquemas de seguridad en
varios lugares:
a)
Primero en la llegada de transacciones a la base de datos. Se puede optar por utilizar mecanismos de encriptación
estándares que permitan que los datos viajen encriptados desde la fuente hasta la base de datos de Pointer.
b) Otra alternativa que puede utilizarse es la opción de que los datos (números de tarjeta, principalmente) sean
depositados en la base de datos de Pointer de manera enmascarada (o encriptada), lo cual convierte la información en
anónima para las personas que interactúan con ella.
Propiedad intelectual de Predisoft, prohibida su reproducción total o parcial.
Descargar