ЦБ хочет усилить контроль за безопасностью платежей

Для полной уверенности регулятору недостает надзора за независимыми провайдерами

Центробанк хочет надзирать за внешними процессинговыми центрами и платежными шлюзами

Центробанк намерен распространить контроль за безопасностью платежных услуг на более широкий круг участников и уже разрабатывает для этого положение, рассказал замначальника управления наблюдения и надзора в Национальной платежной системе (НПС) департамента НПС ЦБ Илья Свечников.

В частности, по словам Свечникова, ЦБ рассчитывает косвенно регулировать компании, с которыми сотрудничают банки (аутсорсинг): сторонние процессинговые центры, эквайринговые шлюзы и т. д. Эти компании не попадают под надзор ЦБ и их деятельность никак не регулируется, а в последнее время проблемы и уязвимости обнаруживаются в том числе на стороне этих компаний, объясняет он (см. врез). ЦБ не может регулировать их напрямую, однако он может предъявлять требования к банкам по работе с ними, замечает он.

Положение в целом усиливает контроль за информационной безопасностью платежных систем, привлеченных банковских платежных агентов, резюмирует Свечников. По его словам, сейчас проект проходит юридическую экспертизу.

Нововведения ЦБ могут коснуться внешних процессинговых центров, среди крупнейших – USC (обслуживает 140 банков, по данным сайта) и «Картстандарт» (110 банков), а также эквайринговых компаний, обеспечивающих прием карт в интернете.

Требования к защите информации в НПС уже прописаны в положении ЦБ 382-П (касается защиты информации при переводе денежных средств) и стандартах ЦБ, однако они не конкретизированы и нет четкого регламента, как осуществлять контроль в этой сфере, рассказывает руководитель экспертного направления Solar Security Андрей Прозоров.

Компании, привлекаемые банками на аутсорсинг, сертифицируются в Visa и MasterCard, объясняет директор дирекции мониторинга электронного бизнеса Альфа-банка Алексей Голенищев. У Visa и MasterCard есть стандарт (PCI DSS), который устанавливает требование к хранению и передаче конфиденциальных данных, продолжает он, и если компании используют криптографические средства защиты информации, то они помимо этого проходят сертификацию в российских органах. «В принципе, все уже есть, хотя напрямую ЦБ контроль не осуществляет», – рассказывает Голенищев. Он также указывает, что Visa и MasterCard компании не российские и, наверное, логично иметь именно российский контроль со стороны ЦБ.

Основатель Chronopay Павел Врублевский рассказывает, что его компания не попадает под надзор ЦБ, но поскольку его компания работает с картами, то она должна соответствовать стандартам безопасности международных платежных систем. Приведение к этому стандарту банков, торговых точек и провайдеров осуществляется частными компаниями, которые имеют лицензии от Visa и MasterCard на проведение аудита. «Мы должны раз в год проходить аудит, без этого мы не можем принимать карты», – объясняет Врублевский. Он считает логичным, если полномочия на такую проверку частным компаниям даст и ЦБ: «Тогда это будет работать».

Самый главный вопрос, по мнению Прозорова, – придумать, как именно осуществлять контроль, поскольку у ЦБ есть и другие приоритеты, а ресурсов не хватает. Одно из возможных решений – это контроль через аккредитованные организации.

Скорее всего, предполагает Голенищев, ЦБ возложит функции контроля за такими организациями на сами банки, но у них также ограничены ресурсы. Сотрудник одного из процессинговых центров указывает, что его компания и так проходит регулярные проверки, которые требуют платежные системы: «Если надо будет проходить еще один аудит для банков, то будем проходить и его». По его мнению, будет лучше, если процессинги смогут взаимодействовать с регулятором напрямую: «Учитывая, что у нас десятки банков, то разумнее выстраивать коммуникацию через нас, а не наоборот». Представители USC и «Картстандарта» от комментариев воздержались.