Президент сегодня заявил, что Россия создаст свою национальную платежную систему, взяв пример с Китая (China UnionPay) и Японии (JCB), которые создав сначала чисто локальные платежные сервисы, затем расширили их до уровня международных. Собственно в данной заметке я хотел посмотреть на опыт JCB и CUP в контексте информационной безопасноти.
С JCB никаких особенностей нет - на эту платежную систему распространяются требования PCI DSS. Более того, несмотря на не очень большой размер доли рынка, представитель JCB входит в исполнительный комитет PCI SSC наряду с представителями других 4-х международных платежных систем - Visa, MasterCard, American Express и Discover.
А вот с China UnionPay ситуация немного иная. На эту платежную систему требования PCI DSS не распространяются. Представителей CUP нет в исполнительном комитете PCI SSC, хотя как рядовой член PCI SSC они на сайте упомянуты. Будучи сугубо локальным китайским продуктом CUP развивалась по своему и с точки зрения информационной безопасности. Все, что мне удалось найти по данной теме - это 4-й раздел руководства по электронным платежам и его 23-я статья, которая отделывается общими словами о необходимости наличия стандартов по ИБ. 24-я статья говорит об управлении рисками, 25-я - об установке лимитов на перевод денежных средств. 26-я статья устанавливает требования неотказуемости транзакций, 27-я защищает банковскую тайну. В последующих 10-ти статьях руководства говорится об авторизации персонала, разделении ответственности, возможности аутсорсинга. Глубокой детализации, схожей с PCI DSS, 382-П или СТО БО ИББС нет и в помине. С 2013-го года в UnionPay внедряется стандарт EMV для чиповых карт. Вот и вся их безопасность.
К чему такой экскурс? Просто рассчитывая на лучшее, всегда надо готовиться к худшему, и банки, являющиеся участниками платежных систем Visa и MasterCard должны быть готовы к тому, что против упомянутых систем могут быть введены санкции. И хотя главы ЦБ и Минфина высказали мысль, что отказываться от Visa и MC не надо, нет никакой гарантии, что наши власти не начнут работать на опережение и не начнут "читать мысли" Президента, ставя палки в колеса компаниям, которые решили пойти супротив России. Понятно, что и Visa, и MasterCard исполняли волю американского государства и по своей инициативе врядли отказались бы от такого лакомого куска, как Россия (хотя доля карточных платежей этих МПС в общем объеме пока ничтожно мала). Но самим США санкции сложно организовать, а вот их "проводникам" вполне - примеров наша история знает немало. Именно поэтому на прошлой неделе в Госдуму был внесен законопроект о запрете работы в России платежных систем, неимеющих у нас своего операционного центра. Пока никто из международных платежных систем его не имеет, а многие и не планируют даже. Если законопроект примут, то работа МПС в России будет блокирована, статус оператора платежной системы отозван и выданные у нас карточки превратятся в красивый пластик.
Возможно у нас возродится УЭК/ПРО100 - об этом говорят сейчас много. Возможно на переходный период у нас оставят все МПС. Возможно оставят только "дружественные" нам МПС (JCB/CUP). Возможно не оставят ничего. Возможно все скоро утихнет и чиновники по-прежнему будут ездить заграницу не с наличными, а с карточками Visa или MC. Возможно МПС построят в РФ свои операционные центры. Говорить пока рано, как и строить какие-то прогнозы. В любом случае риск этот уже ненулевой и стоит искать альтернативы. Поэтому и знание того, как защищаются не столь популярные в РФ (за исключением дальневосточных регионов) платежные системы будет не лишним.
С JCB никаких особенностей нет - на эту платежную систему распространяются требования PCI DSS. Более того, несмотря на не очень большой размер доли рынка, представитель JCB входит в исполнительный комитет PCI SSC наряду с представителями других 4-х международных платежных систем - Visa, MasterCard, American Express и Discover.
А вот с China UnionPay ситуация немного иная. На эту платежную систему требования PCI DSS не распространяются. Представителей CUP нет в исполнительном комитете PCI SSC, хотя как рядовой член PCI SSC они на сайте упомянуты. Будучи сугубо локальным китайским продуктом CUP развивалась по своему и с точки зрения информационной безопасности. Все, что мне удалось найти по данной теме - это 4-й раздел руководства по электронным платежам и его 23-я статья, которая отделывается общими словами о необходимости наличия стандартов по ИБ. 24-я статья говорит об управлении рисками, 25-я - об установке лимитов на перевод денежных средств. 26-я статья устанавливает требования неотказуемости транзакций, 27-я защищает банковскую тайну. В последующих 10-ти статьях руководства говорится об авторизации персонала, разделении ответственности, возможности аутсорсинга. Глубокой детализации, схожей с PCI DSS, 382-П или СТО БО ИББС нет и в помине. С 2013-го года в UnionPay внедряется стандарт EMV для чиповых карт. Вот и вся их безопасность.
К чему такой экскурс? Просто рассчитывая на лучшее, всегда надо готовиться к худшему, и банки, являющиеся участниками платежных систем Visa и MasterCard должны быть готовы к тому, что против упомянутых систем могут быть введены санкции. И хотя главы ЦБ и Минфина высказали мысль, что отказываться от Visa и MC не надо, нет никакой гарантии, что наши власти не начнут работать на опережение и не начнут "читать мысли" Президента, ставя палки в колеса компаниям, которые решили пойти супротив России. Понятно, что и Visa, и MasterCard исполняли волю американского государства и по своей инициативе врядли отказались бы от такого лакомого куска, как Россия (хотя доля карточных платежей этих МПС в общем объеме пока ничтожно мала). Но самим США санкции сложно организовать, а вот их "проводникам" вполне - примеров наша история знает немало. Именно поэтому на прошлой неделе в Госдуму был внесен законопроект о запрете работы в России платежных систем, неимеющих у нас своего операционного центра. Пока никто из международных платежных систем его не имеет, а многие и не планируют даже. Если законопроект примут, то работа МПС в России будет блокирована, статус оператора платежной системы отозван и выданные у нас карточки превратятся в красивый пластик.
Возможно у нас возродится УЭК/ПРО100 - об этом говорят сейчас много. Возможно на переходный период у нас оставят все МПС. Возможно оставят только "дружественные" нам МПС (JCB/CUP). Возможно не оставят ничего. Возможно все скоро утихнет и чиновники по-прежнему будут ездить заграницу не с наличными, а с карточками Visa или MC. Возможно МПС построят в РФ свои операционные центры. Говорить пока рано, как и строить какие-то прогнозы. В любом случае риск этот уже ненулевой и стоит искать альтернативы. Поэтому и знание того, как защищаются не столь популярные в РФ (за исключением дальневосточных регионов) платежные системы будет не лишним.
Скорее всего будет некий переходный период, в течение которого станет ясен сценарий. Не думаю, что руководство страны хочет убить безнал, учитывая наработки Минфина по уходу от налички. Не представляю себе быстрой замены (перепрошивки) платежных терминалов по всей стране с целью поддержки новых платежных систем. Это круче, чем поставить видеонаблюдение на каждом избирательном пункте.
ОтветитьУдалитьНе круче. Видеонаблюдение на избиркомы - это деньги государственные. А поменять прошивки в банкоматах - это деньги частные. Как говорится "финансовые средства из бюджета не понадобятся" :-)
ОтветитьУдалитьИ все таки интересно, ну не может быть платежной системы без защиты... Если смотреть на Китай в крайние годы, то какого нибудь новшества от них можно ожидать. На ДВ я встречал CUP в виде наклеек на банкоматах и на некоторых торговых точках, карточки у них (по моему) все с "чипами". Мне кажется на переходный период можно и CUP попользоваться, к тому же опыт в нашей стране, получается, есть.
ОтветитьУдалитьСкорее всего будем использовать в России Китайскую ЮнионПэй http://unionpay.pro/topic/137-kitaiskaia-unionpay-pomozhet-rossiiskim-bankam-preodol/
ОтветитьУдалить