tag:blogger.com,1999:blog-4065770693499115314.post6454667656621068943..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Банк России выпустил проект новой редакции 382-ПАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger16125tag:blogger.com,1999:blog-4065770693499115314.post-58853123907987500672014-05-20T09:15:57.870+04:002014-05-20T09:15:57.870+04:00Как ни странно - зацепил в основном пункт про конт...Как ни странно - зацепил в основном пункт про контроль целостности.<br />1. Контроль целостности можно делать "условно организационными мерами". Там написано про инструкцию... Если все, что защищает от навязывания считать СКЗИ, то определитель номера телефона - СКЗИ.<br />2. Если делать ссылку на общедоступный источник (как написано в проекте), то можно не получать лицензию на распространение, даже если не утруждать себя и тупо использовать СКЗИ.<br />3. Главный вопрос: как обеспечивать/гарантировать целостность и доступность информации на общедоступном источнике, используемом для проверки целостности. Думаю, должны быть требования - видимо для следующего релиза 382-П. Фактически - это уже требования к облачным сервисам.Michaelhttps://www.blogger.com/profile/15572367859458718051noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-42654351264277161882014-05-19T17:29:06.602+04:002014-05-19T17:29:06.602+04:00Насчет невозможности регулирования ритейла со стор...Насчет невозможности регулирования ритейла со стороны ЦБ - его можно сделать опосредованным. ЦБ может возложить на банки обязанность контролировать соблюдение 382-П магазинами, как сейчас банки контролируют кассовую дисциплину и валютные операции юридических лиц.Sergey Shustikovhttps://www.blogger.com/profile/09196331497850057094noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-17546288857121949362014-05-19T17:19:03.400+04:002014-05-19T17:19:03.400+04:00Не особо то оно и натягивается, согласно 103-ФЗ:
...Не особо то оно и натягивается, согласно 103-ФЗ:<br /><br /><b>- платежный агент</b> - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, осуществляющие деятельность по приему платежей физических лиц. Платежным агентом является оператор по приему платежей либо платежный субагент;<br /><b>- оператор по приему платежей</b> - платежный агент - юридическое лицо, заключившее с поставщиком договор об осуществлении деятельности по приему платежей физических лиц;<br /><b>- платежный субагент</b> - платежный агент - юридическое лицо или индивидуальный предприниматель, заключившие с оператором по приему платежей договор об осуществлении деятельности по приему платежей физических лиц;<br /><b>- поставщик</b> - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, получающие денежные средства плательщика за реализуемые товары (выполняемые работы, оказываемые услуги) в соответствии с настоящим Федеральным законом, а также юридическое лицо или индивидуальный предприниматель, которым вносится плата за жилое помещение и коммунальные услуги в соответствии с Жилищным кодексом Российской Федерации, а также органы государственной власти и органы местного самоуправления, учреждения, находящиеся в их ведении, получающие денежные средства плательщика в рамках выполнения ими функций, установленных законодательством Российской Федерации.<br /><b>- платежный терминал</b> - устройство для приема платежным агентом от плательщика денежных средств, функционирующее в автоматическом режиме без участия уполномоченного лица платежного агента.<br /><br />Магазин тут в лучшем случае попадает под определение поставщика, который к "платежному терминалу" никакого отношения не имеет.Sergey Shustikovhttps://www.blogger.com/profile/09196331497850057094noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-50425568526163988302014-05-19T17:11:24.840+04:002014-05-19T17:11:24.840+04:00Натянуть определние? Хм... все магазины страны с &...Натянуть определние? Хм... все магазины страны с "радостью" узнают, что они теперь - банковские платежные агенты со всеми вытекающими в виде спецсчетов и т. д.Sergey Shustikovhttps://www.blogger.com/profile/09196331497850057094noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-72923084770259782912014-05-19T17:07:43.863+04:002014-05-19T17:07:43.863+04:00Кстати, это определение платежного терминала из 1...Кстати, это определение платежного терминала из 103-ФЗ, который целиком посвящен "столбикам". В 161-ФЗ я определения платежного терминала не нашел. Если принимать во внимание 103-ФЗ, тогда обычные POS-терминалы однозначно не попадают под 382-П в новой редакции и это очень комично: технологически транзакция с банкомата и с POS-терминала ничем не отличается. Почему в первом случае надо обеспечивать её безопасность, а во втором - нет?Sergey Shustikovhttps://www.blogger.com/profile/09196331497850057094noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-80231185235590687022014-05-19T17:06:03.355+04:002014-05-19T17:06:03.355+04:00А это нормально :-) ЦБ вообще не всегда умеет регу...А это нормально :-) ЦБ вообще не всегда умеет регулировать то, с чем сам не сталкивается. Именно поэтому у них такой слабый раздел по ДБО, который еще и тянули с принятием. И почти полное отсутствие раздела по картам. У них же самих этого нет и они не знают, как это регулировать. Да еще и устанавливать требования к ритейлу они не могут - те им не подчиняются.<br /><br />ЗЫ. Но насчет невозможности натянуть на магазин понятие платежного агента я бы поспорил :-)Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-40213993884494258042014-05-19T17:02:27.285+04:002014-05-19T17:02:27.285+04:00Этот комментарий был удален автором.Sergey Shustikovhttps://www.blogger.com/profile/09196331497850057094noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-20111364735515510982014-05-19T17:02:22.828+04:002014-05-19T17:02:22.828+04:00Алексей, исходя из этого требования POS-терминалы ...Алексей, исходя из этого требования POS-терминалы и их виртуальные аналоги - платежные формы сайтов интернет-магазинов не входят в понятие "платежный терминал", как минимум потому что магазин не является платежным агентом.<br /><br />Следовательно, возникает ситуация, когда 382-П согласно добавленному в 2.2 абзацу: "...требования к обеспечению защиты информации при осуществлении переводов денежных средств с применением платежных карт..." и уже имеющемуся в перечне защищаемых данных абзацу: "...информации, необходимой для удостоверения клиентами права распоряжения денежными<br />средствами, в том числе данных держателей платежных карт..." однозначно распространяется на индустрию платежных карт целиком (скоуп в это части становится аналогичен PCI DSS), но при этом не предъявляет требования к самому большому по объему и самому опасному по происхождению рисков сегменту этого скоупа - к торгово-сервисным предприятиям (наземным магазинам, электронной коммерции, букингам и т. д.). Sergey Shustikovhttps://www.blogger.com/profile/09196331497850057094noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-57239525586166785362014-05-19T16:53:00.287+04:002014-05-19T16:53:00.287+04:00Спасибо, Алексей!Спасибо, Алексей!Anonymoushttps://www.blogger.com/profile/00643492254177984304noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-45945296425947112912014-05-19T16:42:43.974+04:002014-05-19T16:42:43.974+04:00А это уже вопросы к ЦБ. Чем они думали, когда прин...А это уже вопросы к ЦБ. Чем они думали, когда принимали такие требования. Но менять их не будутАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-53481371985561024252014-05-19T16:10:36.856+04:002014-05-19T16:10:36.856+04:00А лицензия на распространение необходима в случае ...А лицензия на распространение необходима в случае когда для контроля целостности будет использоваться чей-то продукт. А если самим реализовывать такой механизм, то означает ли, что необходим пункт лицензии на разработку СКЗИ? Означает ли это необходимость такой лицензии, если это дело не будет сертифицироваться? Anonymoushttps://www.blogger.com/profile/00643492254177984304noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-26934063531089981872014-05-19T15:45:45.322+04:002014-05-19T15:45:45.322+04:00Антон: п.2б ПП-313 подойдет?
Средства имитозащиты...Антон: п.2б ПП-313 подойдет?<br /><br />Средства имитозащиты - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информацииАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-15469695233617188932014-05-19T15:44:15.024+04:002014-05-19T15:44:15.024+04:00Sergey: Платежный терминал - устройство для приема...Sergey: Платежный терминал - устройство для приема платежным агентом от плательщика денежных средств, функционирующее в автоматическом режиме без участия уполномоченного агента платежного агента.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-71962696807508802172014-05-19T14:56:51.845+04:002014-05-19T14:56:51.845+04:00При передаче ОПДС юрлицам банковского ПО обязатель...При передаче ОПДС юрлицам банковского ПО обязательно сопровождать его ПО для контроля целостности. А это у нас уже распространение СКЗИ (а как по другому в России контролировать целостность ПО). А распространение СКЗИ требует лицензии ФСБ. Получается, что ЦБ все банки обязывает получать лицензию ФСБ?..<br /><br />Возник вопрос, а где конкретно сказано, что хэш-функция относится к СКЗИ? В ПКЗ-2005 я такого не увидел. То есть почему при разработке и использовании средства контроля целостности на основе контрольного суммирования необходимо получать лицензию ФСБ? Разве необходимо использование исключительно ГОСТовой хэш-функции? Если да, то где это написано?Anonymoushttps://www.blogger.com/profile/00643492254177984304noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-72921490266364305672014-05-19T12:57:57.384+04:002014-05-19T12:57:57.384+04:00п. 2.19 вызывает очень много вопросов.
Формулиров...п. 2.19 вызывает очень много вопросов.<br /><br />Формулировка "осуществляет переводы ДС" распространяет этот пункт не только на эмиссию карт, но и на приём. Формально, эквайер не должен принимать такие карты к оплате. Идея мне нравится, однако каким образом эквайер может определить, когда была выпущена карта? На карте есть только дата кончания действия, дата выпуска отсутствует.Дмитрийhttps://www.blogger.com/profile/15769893621779463722noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-78817993619902029572014-05-19T05:46:37.455+04:002014-05-19T05:46:37.455+04:00Вопрос: относятся ли обычные магазинные POS-термин...Вопрос: относятся ли обычные магазинные POS-терминалы к "платежным терминалам" из обновленного п. 2.2, которые далее в п. 2.18.1 названы вместе с банкоматами термином "ТУ ДБО"? Если да, то, видимо, для магазинов нужна новая роль в экосистеме 161-ФЗ? И если да, то получается, что сайт Интернет-магазина тоже становится "ТУ ДБО"?<br /><br />Уточнение: насколько я понял из формулировки, то с 01.01.2015 запрещается эмитировать не карты с магнитной полосой, а карты ТОЛЬКО с магнитной полосой.Sergey Shustikovhttps://www.blogger.com/profile/09196331497850057094noreply@blogger.com