Правительство в понедельник внесло в Госдуму законопроект "
О национальной платежной системе" и "О внесении изменений в некоторые законодательные акты Российской Федерации, а также "
О признании утратившими силу Федерального закона "О деятельности по приему платежей физических лиц, осуществляемой платежными агентами" и некоторых положений законодательных актов Российской Федерации в связи с принятием Федерального закона "О национальной платежной системе". Что он принесет рынку ИБ? Т.к. он не сильно по "нашей" теме меняется последние полгода (да и в его обсуждении безопасники почти не принимают участие), то можно говорить, что он в таком виде и дойдет по подписания у Президента.
Итак, что такое НПС? Согласно законопроекта - это "
совокупность операторов по переводу денежных средств, включая операторов электронных денег, платежных агентов (субагентов), операторов платежных систем, операторов услуг платежной инфраструктуры, участников финансовых рынков, органов федерального казначейства и организаций федеральной почтовой связи при осуществлении ими деятельности, связанной с переводом денежных средств (субъекты национальной платежной системы)". Сразу хочу отметить, что в НПС входят не только банки, но и, например, почтовые отделения, операторы по переводу электронных денег (тот же Яндекс.Деньги или WebMoney), пенсионные фонды, профессиональные участники рынка ценных бумаг, а также любая другая организация или индивидуальный предприниматель, которая принимает от физлиц наличные деньги. Т.е. НПС - это масштабная система по количеству участников.
"Наша" тема описана в трех статья - 18-ой, 19-ой и 20-ой. 18-я требует, чтобы все участники НПС, исключая субагентов, расчетные, клиринговые и операционные центры, соблюдали требования по обеспечению банковской тайны в соответствие с требованиями закона "О банках и банковской деятельности". При этом требования соблюдения БТ для указанных исключений даны во втором законопроекте (см.ниже).
19-я статья (тот же номер у статьи по защите в ФЗ-152) говорит об обеспечении защиты информации платежной системы. Требования по защите устанавливает Правительство, а контроль и надзор за ними осуществляют ФСБ и ФСТЭК. Эти требования обязательны для всех субъектов НПС. Также для них обязательны требования (при переводе денежных средств), устанавливаемые ЦБ. Эти требования должны быть согласованы с ФСТЭК и ФСБ, а контроль за их исполнением ложится на ЦБ.
Со стороны Правительства, ФСТЭК и ФСБ пока никаких требований по безопасности НПС не было (хотя слухи о том, что ФСТЭК разрабатывает документ по защите платежных систем ходят). А вот то, что сделает ЦБ примерно понятно (хотя и не финально). Требования по защите прописаны в СТО, который уже согласован с ФСТЭК и ФСБ (по проекту ПДн), и ЦБ врядли будет писать что-то новое. Хотя... мало ли что нас ждет в будущем.
Дополнительно к ст.19, в ст.20 для операторов платежных систем устанавливается требование наличия системы управления рисками в соответствие с нормативными требованиями ЦБ (скорее всего речь пойдет о 76-Т, Базель II, 197-Т, 36-Т и т.п.).
Интересно, что участники НПС могут подключаться к т.н. трансграничной платежной системе (Visa, AmEx, MasterCard и т.п.), но при выполнении последней ряда условий, в т.ч. и всех требований ФЗ об НПС. Это значит, что Visa должна будет соблюдать требования ФСТЭК и ФСБ по защите информации о денежных средствах. Интересно будет посмотреть, как будет реализовано данное требование.
За невыполнение данных требований предусмотрено несколько видов наказания:
- приостановление деятельности (для клиринговых и расчетных центров)
- исключения из реестра операторов платежной системы (для оператора платежной системы)
- административная ответственность
Закон вступает в силу по истечение года с момента его опубликования.
Второй закон о внесении изменений содержит много разных поправок в действующие законы, но по "нашей" части изменения касаются только ст.26 закона "О банках и банковской деятельности" (расширяя список лиц, обязанных соблюдать банковскую тайну) и в КоАП добавляется новая статья 15.26.1 "Нарушение законодательства о национальной платежной системе". Штраф до 200 тысяч рублей распространяется только на операторов платежных систем, операционные и клиринговые центры.
ЗЫ. Достаточно интересно читать законопроект, в контексте работы Visa, MasterCard и т.п. платежных систем. Исходя из текста законопроекта они становятся участниками НПС, но... обязаны будут строить процессинг здесь, т.к. законом будет запрещена передача информации зарубеж по переводам денег (или доступ к процессингу из-за рубежа). Исключений только два - резервное хранение данных заграницей или передача данных только платежной карте и только в объеме суммы, валюты и PAN/CVV (ФИО и адрес клиента передавать запрещено).