Нацпроект: как построить национальную платежную систему
Закон о национальной платежной системе способен оказать большое влияние на ИТ-ландшафт российских банков. В первую очередь речь идет о тех банках и компаниях, которые будут обрабатывать и передавать данные об операциях с банковских карт новой системы. Закон также может стать стимулом для развития электронных платежей в России.Если рассматривать федеральный закон от 27 июня 2011 г. №161 "О национальной платежной системе" с точки зрения новых требований к бизнесу, то, пожалуй, главное его достижение – сформулированы требования к работе (ответственности) процессинговых центров за несоблюдение гарантий по качеству работы.
Самым важным положением с точки зрения пользователей платежных банковских карт стала возможность отозвать платеж в течение дня. "Раньше держателю карты, несогласному со списанием средств, приходилось идти в банк, писать заявление об отзыве транзакции. Банк долго его рассматривал, проводил проверку и порой отказывал, – объясняет вице-президент, руководитель дирекции по работе с коммерческими банками компании "Ланит" Роман Латышев. – Теперь в течение суток клиент может оспорить любую операцию, и банк обязан вначале вернуть клиенту деньги, а потом разбираться, насколько правомерна была транзакция".
Описанных подход является обязательным на рынках развитых стран. Однако его внедрение потребует перестройки работы служб по обработке претензий и возврату платежей по картам. "Благодаря закону появляются большие возможности для мошенничества со стороны клиентов. Поэтому от того, насколько оперативно и профессионально будут работать банковские службы, будет зависеть возможный объем финансовых потерь банка", – отмечает Роман Латышев.
Число сотрудников служб по обработке претензий и возврату платежей по картам обычно прямо пропорционально объемам эмиссии и эквайринга. И вряд ли банки будут стремиться наращивать штат. Скорее, под гнетом возрастающего числа заявлений о возврате, они будут инвестировать в автоматизацию процесса опротестования.
"Для решения проблемы больше всего подходят системы класса ВРМ, – уверен Роман Латышев. – Лидеры рынка предлагают готовые подсистемы, которые полностью автоматизируют эту работу и не требуют полноформатного развертывания BPM-системы. Достаточно установить подсистему, которая легко интегрируется с основными системами банка. Во многих крупнейших банках, например в J.P. Morgan, Citibank, такие решения уже внедрены и сделали цикл опротестования любой операции прозрачным. Они позволили контролировать все требования платежных систем и сократить затраты за счет автоматизации процесса (количество этапов в цикле сокращается в 4 раза)".
Электронные кошельки
Руководитель практики BI компании "Астерос Консалтинг" Владимир Коровкин считает, что самым важным в этом законе стала расшифровка понятия "электронные денежные средства", о которых раньше говорилось только в привязке к банковским счетам.
Фактически речь идет о правомерном существовании всевозможных электронных кошельков. "В перспективе это позволит придать любому портативному устройству с процессором и выходом в сеть функцию мобильного кошелька, – поясняет Владимир Коровкин. – Теоретически теперь нет законодательных преград тому, чтобы сделать умный холодильник, в который вводишь карточку, а он заказывает по ней продукты".
В подтверждение цитата из закона: "Электронное средство платежа – средство и (или) способ, позволяющие клиенту оператора по переводу денежных средств составлять, удостоверять и передавать распоряжения в целях осуществления перевода денежных средств в рамках применяемых форм безналичных расчетов с использованием информационно-коммуникационных технологий, электронных носителей информации, в том числе платежных карт, а также иных технических устройств".
Информационная безопасность
Вообще, закон о национальной платежной системе не просто интересен сам по себе, он породил волну интересных документов. К примеру, 9 июня 2012 г. вышло указание указание ЦБ РФ №2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств". И 14 августа банки должны были сдать первую такую отчетность.
Сама по себе она не требует дополнительной информатизации, однако с ее помощью будет формироваться база данных по инцидентам. А значит, могут измениться требования к системам информационной безопасности. "По мнению наших партнеров из банковской отрасли, выполнение обязательной части настоящего указания (форма 0403203 "Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств") не влечет дополнительной нагрузки на ИТ-систему банка. Предложенная ЦБ форма достаточно проста и понятна при заполнении, – рассказывает управляющий директор компании Optima Infosecurity Неманья Никитович. – Форма несет функцию обратной связи с главным банком страны, результатом которой станет, во-первых, детальное понимание того, какие меры и средства способны обеспечить эффективную защиту банков; во-вторых, появится внушительный массив данных по инцидентам, на основе которого банки смогут совершенствовать свои системы ИБ".
13 июня 2012 г. вышло постановление правительства №584 "Об утверждении Положения о защите информации в платежной системе", которое вступило в действие с 1 июля 2012 г. Управляющий партнер консалтингового агентства "Емельянников, Попова и партнеры" Михаил Емельянников считает, что ничего нового в постановлении не появилось, все моменты, которые не были разъяснены в законе, остались "белыми пятнами", например как будут устанавливаться требования к защите банковской тайны. "Самый главный вопрос, возникающий при изучении положения, – тот же, что и был к ФЗ "О национальной платежной системе". Требования к защите банковской тайны, которую обязаны гарантировать операторы и агенты (субагенты), будут установлены ЦБ РФ, исходя из смысла части 3 той же статьи 27 закона, или же банковская тайна – "иная информация, подлежащая обязательной защите в соответствии с законодательством Российской Федерации"? Если последнее, то защиту каких сведений будет определять Банк России?", – поясняет он.
Второй посыл: отсутствует требование об обязательной сертификации системы защиты информации. "Если с защитой персональных данных при осуществлении платежей есть некоторая ясность – меры обеспечения их безопасности определены специальным законодательством, которое в совокупности фактически требует обязательной сертификации СЗИ, то как быть с "иной информацией, подлежащей обязательной защите в соответствии с законодательством Российской Федерации" и что это за информация вообще, будет выясняться, как обычно, по ходу правоприменения", – рассуждает Михаил Емельянников. Есть и другие неоднозначные места, все перечислить в статье сложно.
Таким образом, принципиально новых требований к ИБ пока не появилось. Правда, в последнем документе упоминается рискоориентированный подход. Возможно, по мере появления конкретики, системы информационной безопасности банков и агентов претерпят изменения. Количество "белых пятен" оставляет много места для маневра.
Виктория Холина