18.11.10

Законопроект о НПС внесен в ГосДуму

Правительство в понедельник внесло в Госдуму законопроект "О национальной платежной системе" и "О внесении изменений в некоторые законодательные акты Российской Федерации, а также "О признании утратившими силу Федерального закона "О деятельности по приему платежей физических лиц, осуществляемой платежными агентами" и некоторых положений законодательных актов Российской Федерации в связи с принятием Федерального закона "О национальной платежной системе". Что он принесет рынку ИБ? Т.к. он не сильно по "нашей" теме меняется последние полгода (да и в его обсуждении безопасники почти не принимают участие), то можно говорить, что он в таком виде и дойдет по подписания у Президента.

Итак, что такое НПС? Согласно законопроекта - это "совокупность операторов по переводу денежных средств, включая операторов электронных денег, платежных агентов (субагентов), операторов платежных систем, операторов услуг платежной инфраструктуры, участников финансовых рынков, органов федерального казначейства и организаций федеральной почтовой связи при осуществлении ими деятельности, связанной с переводом денежных средств (субъекты национальной платежной системы)". Сразу хочу отметить, что в НПС входят не только банки, но и, например, почтовые отделения, операторы по переводу электронных денег (тот же Яндекс.Деньги или WebMoney), пенсионные фонды, профессиональные участники рынка ценных бумаг, а также любая другая организация или индивидуальный предприниматель, которая принимает от физлиц наличные деньги. Т.е. НПС - это масштабная система по количеству участников.

"Наша" тема описана в трех статья - 18-ой, 19-ой и 20-ой. 18-я требует, чтобы все участники НПС, исключая субагентов, расчетные, клиринговые и операционные центры, соблюдали требования по обеспечению банковской тайны в соответствие с требованиями закона "О банках и банковской деятельности". При этом требования соблюдения БТ для указанных исключений даны во втором законопроекте (см.ниже).

19-я статья (тот же номер у статьи по защите в ФЗ-152) говорит об обеспечении защиты информации платежной системы. Требования по защите устанавливает Правительство, а контроль и надзор за ними осуществляют ФСБ и ФСТЭК. Эти требования обязательны для всех субъектов НПС. Также для них обязательны требования (при переводе денежных средств), устанавливаемые ЦБ. Эти требования должны быть согласованы с ФСТЭК и ФСБ, а контроль за их исполнением ложится на ЦБ.

Со стороны Правительства, ФСТЭК и ФСБ пока никаких требований по безопасности НПС не было (хотя слухи о том, что ФСТЭК разрабатывает документ по защите платежных систем ходят). А вот то, что сделает ЦБ примерно понятно (хотя и не финально). Требования по защите прописаны в СТО, который уже согласован с ФСТЭК и ФСБ (по проекту ПДн), и ЦБ врядли будет писать что-то новое. Хотя... мало ли что нас ждет в будущем.

Дополнительно к ст.19, в ст.20 для операторов платежных систем устанавливается требование наличия системы управления рисками в соответствие с нормативными требованиями ЦБ (скорее всего речь пойдет о 76-Т, Базель II, 197-Т, 36-Т и т.п.).

Интересно, что участники НПС могут подключаться к т.н. трансграничной платежной системе (Visa, AmEx, MasterCard и т.п.), но при выполнении последней ряда условий, в т.ч. и всех требований ФЗ об НПС. Это значит, что Visa должна будет соблюдать требования ФСТЭК и ФСБ по защите информации о денежных средствах. Интересно будет посмотреть, как будет реализовано данное требование.

За невыполнение данных требований предусмотрено несколько видов наказания:
  • приостановление деятельности (для клиринговых и расчетных центров)
  • исключения из реестра операторов платежной системы (для оператора платежной системы)
  • административная ответственность
Закон вступает в силу по истечение года с момента его опубликования.

Второй закон о внесении изменений содержит много разных поправок в действующие законы, но по "нашей" части изменения касаются только ст.26 закона "О банках и банковской деятельности" (расширяя список лиц, обязанных соблюдать банковскую тайну) и в КоАП добавляется новая статья 15.26.1 "Нарушение законодательства о национальной платежной системе". Штраф до 200 тысяч рублей распространяется только на операторов платежных систем, операционные и клиринговые центры.

ЗЫ. Достаточно интересно читать законопроект, в контексте работы Visa, MasterCard и т.п. платежных систем. Исходя из текста законопроекта они становятся участниками НПС, но... обязаны будут строить процессинг здесь, т.к. законом будет запрещена передача информации зарубеж по переводам денег (или доступ к процессингу из-за рубежа). Исключений только два - резервное хранение данных заграницей или передача данных только платежной карте и только в объеме суммы, валюты и PAN/CVV (ФИО и адрес клиента передавать запрещено).

4 коммент.:

pushkinist комментирует...

на инфосекуритираша седня на эту тему занятный круглый стол был как раз с представителями фсб.

Алексей Лукацкий комментирует...

Причем к общему мнению так и не пришли. ЦБ-то отсутствовал ;-(

pushkinist комментирует...

сложилось впечатление, что общее мнение все же было, и формулируется оно как "а нафиг вообще эта нпс?" )

Смолов Илья комментирует...

Возможно это как-то связано с вербовкой, например Потеева.