Попал мне в руки законопроект "О национальной платежной системе", о которой говорят много и активно чиновники разных уровней. До 31-го марта законопроект должен быть подготовлен и внесен в ГосДуму. Суть его проста - регулировать деятельность организаций - операторов по переводу денежных средств, операторов по приему платежей, операторов платежных систем, операторов услуг платежной инфраструктуры и определить требования к функционированию платежной системы. Ну а по простому - у нас хотят построить свою Visa или MasterCard ;-)
Теперь о процессинге. Из статьи 9: "Банк России вправе устанавливать требования к деятельности операционных центров значимых платежных систем, включая требования к бесперебойности, информационной безопасности, а также порядок оценки соответствия операционных центров значимых платежных систем установленным требованиям". Требования PCI DSS отдыхают. И хотя ЦБ не раз заявлял, что их СТО во многом схож с PCI DSS, выполнять придется требования СТО, а не PCI DSS... с прохождением оценки соответствия (скорее всего в ABISS).
С процессингом связан и гораздо более неприятный для всех момент (он так и кочует из версии в версию и менять его пока никто не собирается, хотя попытки есть): процессинговые центры "не вправе передавать информацию, касающуюся переводов денежных средств, осуществляемых на территории Российской Федерации, на территорию иностранных государств или предоставлять доступ к ней с территории иностранных государств". Что это значит для простых граждан? Вы не сможете оплатить имеющейся у вас картой Visa или MasterCard покупку в магазине! Вы не сможете снять зарплату с карты! Вы не сможете перевести деньги через Western Union! И т.п. А все потому, что нередко процессинг (по крайней мере у европейских и азиатских банков, не говоря уже о самой Visa и MasterCard) располагаются за пределами РФ.
Законопроект вводит такие понятия, как расчетный и клиринговый центр. Требования по управлению рисками в них устанавливает также Банк России (пора изучать 242-П, 76-Т, 2194-У и т.п.). К обычным участникам платежной системы относятся операторы по переводу денежных средств и приему платежей, участники рынка ценных бумаг, почта и т.п. Чтобы стать участником платежной системы надо будет выполнить ряд условий, в т.ч. и требования по ИБ. Все участники "обязаны выполнять требования по оценке и управлению рисками, предусмотренные правилами платежной системы".
Теперь об информационной безопасности. Операторы платежной системы обязаны обеспечить оценку и управление рисками, а также разработать меры обеспечения информационной безопасности в платежной системе и обеспечить контроль их соблюдения. Ключевым регулятором (в текущей редакции законопроекта) является Банк России. Об этом говорит отдельная, 17-я статья: "Информационная безопасность в платежной системе обеспечивается в соответствии с требованиями законодательства Российской Федерации совокупностью технологических и организационных мер, аппаратно-программных и технических средств защиты информации. Оператором платежной системы, участниками платежной системы, операторами услуг платежной инфраструктуры должна проводиться оценка соответствия информационной безопасности в платежной системе требованиям к обеспечению информационной безопасности в порядке, установленном правилами платежной системы. Банк России вправе устанавливать требования к обеспечению и порядок оценки информационной безопасности в значимых платежных системах".
Отдельный раздел законопроекта посвящен национальной платежной карте (аналог Visa или MasterCard). Будет создан аналог Visa в России, который "разрабатывает и принимает стандарты ...обеспечения информационной безопасности, обеспечивает контроль за их соблюдением". Теперь у нас будет свой аналог PCI DSS.
ЗЫ. С момента опубликования ФЗ выделяется 6 месяцев на его вступление в силу. За это время все участники должны будут выполнить требования по ИБ ;-)
Похоже интеграторы уже могут расширять разделы презентаций со "страшилками"...
ОтветитьУдалитьТо есть новые требования будут параллельно с PCI DSS (для Visa) cуществовать? Или национальная платежная система может быть построена на базе Visa с условием отказа от трансграничной передачи транзакций?
ОтветитьУдалитьЕще один Глонасс, теперь банковский со вкусом смородины.
ОтветитьУдалитьVisa не планирует создание процессинга в России - бизнес-кейса нет. И в любом случае все будет параллельно, т.к. PCI DSS - это международные требования, а требования НПС - сугубо локальные. Они могут и будут совпадать процентов на 80, но оценка соответствия будет раздельной.
ОтветитьУдалить"То есть новые требования будут параллельно с PCI DSS (для Visa)"
ОтветитьУдалитьАлексей,
ты совсем людей застращал.
Подтверди, пожалуйста, что в законопроекте идет речь О СОЗЛАНИИ С НУЛЯ совершенно отдельной платежной системе, и что все тобой перечисленное ОТНОСИТСЯ ТОЛЬЕО К НЕЙ. Я законопроект не видел, но сильно подозреваю, что в нем прописано именно это.
В противном случае для принятия этого закона придется отменить фундаментальную норму российского права, согласно которой деятельность международных платежных систем и их клиентов регулируется законодательством страны, в которой обитают владельцы этих систем :)
Если кто не в курсе, то банки это уже проходили. Точно таким же образом и точно с такими же требованиями уже создана система межбанковских платежей реального времени. Никто не загоняет банки в эти системы, но если уж хотите участвовать - извольте соответствовать. Параллельно с этим SWIFT как работал, так и работает.
Отличие национальной платежной системы от системы межбанковских платежей заключается в том, что в ней участвуют организации, не подчиняющиеся ЦБ, поэтому для ее регулирования нужен отдельный ФЗ. :)
Присоединяюсь к Ригелю.
Да, с нуля и только к ней. Но есть две проблемы. Первая - западный процессинг, который будет вне закона. Вторая - как бы потенциальных участников платежной системы не силком загоняли в НПС.
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалить> Первая - западный процессинг, который будет вне закона.
ОтветитьУдалитьПочему же вне закона? Он действует в рамках договора присоединения, который банк заключил с МПС. А исполнение этого договора в соответствии сн= нормами ГК определяется законодательством страны, в которой находится владелец МПС. Это, кстати, позволяет банкам уклоняится от ответственности перед клиентами по фроду с пластиковыми картами :)
> Вторая - как бы потенциальных участников платежной системы не силком загоняли в НПС
А я тебе даже скажу, как это сделают :) Вместо непрозрачных для клиента (и не подсудных российским судам) правил Визовского арбитража в НПС будет арбитраж с презумпцией ответственности банка перед држателем карты (поскольку это требование действующего ЗоЗПП). В этих условиях и я, и ты, и любой нормальный человек для внутренних платежей выберет карту НПС. А для внешних платежей бане сам тебе предложит Визу в качестве доп. карты к тому же счету. Ну, будет у тебя не два механизма доступа к счету, как сейчас, а три. Неудобство как плата за снижение твоих же рисков :)
А если НПС окажется слишком неудобной, ты сохранишь верность Визе и все останется как есть.
По поводу гарантий ты путаешь ;-) Наши граждане не доверяют государству и его инициативам (даже запущенными с благими намерениями) и они будут по прежнему ориентироваться на Визу, а не НПС.
ОтветитьУдалитьЧто же касается первого вопроса, то не все так просто. С точки зрения ГК ты прав, но теперь посмотри на это с точки зрения издержек. Если у банка или существуюшей платежной системы есть процессинг за границей, то он? захотев присоединиться к НПС, встанет перед дилеммой - завести НПС на существующий процессинг или создавать новый, специально для НПС. Второе - малореально. Бизнес-кейса нет. Первое - невозможно по законопроекту.
> Наши граждане не доверяют государству
ОтветитьУдалитьЭто до тех пор, пока они не сталкиваются на практике с необходимостью защищать свои права в трудовых спорах, при оказании некачественной услуги или при нежелани страхловщика расставаться с деньгами. После этого граждане обычно проникаются большой любовью к соответствующим законам - по себе знаю :)
Это я к тому, что ЦБ может сделать НПС привлекательной для клиентов банков. Было бы желание :)
Ну защищать свои права, что с российским банком в НПС, что с иностранным в МПС, - никакой разницы. Стремно и не все хотят идти в суды ;-)
ОтветитьУдалитьИ я не верю в желание законодателей и регуляторов сделать что-то для граждан ;-)
Очередной тупой законопроект, который, надеюсь никогда не будет проведен.
ОтветитьУдалить