ЦБ хочет усилить контроль за безопасностью платежей

Для полной уверенности регулятору недостает надзора за независимыми провайдерами
Центробанк хочет надзирать за внешними процессинговыми центрами и платежными шлюзами/ М. Стулов/ Ведомости

Центробанк намерен распространить контроль за безопасностью платежных услуг на более широкий круг участников и уже разрабатывает для этого положение, рассказал замначальника управления наблюдения и надзора в Национальной платежной системе (НПС) департамента НПС ЦБ Илья Свечников.

Компании, привлекаемые банками на аутсорсинг, сертифицируются в Visa и MasterCard, объясняет директор дирекции мониторинга электронного бизнеса Альфа-банка Алексей Голенищев. У Visa и MasterCard есть стандарт (PCI DSS), который устанавливает требование к хранению и передаче конфиденциальных данных, продолжает он, и если компании используют криптографические средства защиты информации, то они помимо этого проходят сертификацию в российских органах. «В принципе, все уже есть, хотя напрямую ЦБ контроль не осуществляет», – рассказывает Голенищев. Он также указывает, что Visa и MasterCard компании не российские и, наверное, логично иметь именно российский контроль со стороны ЦБ.

В частности, по словам Свечникова, ЦБ рассчитывает косвенно регулировать компании, с которыми сотрудничают банки (аутсорсинг): сторонние процессинговые центры, эквайринговые шлюзы и т. д. Эти компании не попадают под надзор ЦБ и их деятельность никак не регулируется, а в последнее время проблемы и уязвимости обнаруживаются в том числе на стороне этих компаний, объясняет он (см. врез). ЦБ не может регулировать их напрямую, однако он может предъявлять требования к банкам по работе с ними, замечает он.

Положение в целом усиливает контроль за информационной безопасностью платежных систем, привлеченных банковских платежных агентов, резюмирует Свечников. По его словам, сейчас проект проходит юридическую экспертизу.

Нововведения ЦБ могут коснуться внешних процессинговых центров, среди крупнейших – "Компания объединенных кредитных карточек USC" (обслуживает 140 банков, по данным сайта) и «Картстандарт» (110 банков), а также эквайринговых компаний, обеспечивающих прием карт в интернете.

Требования к защите информации в НПС уже прописаны в положении ЦБ 382-П (касается защиты информации при переводе денежных средств) и стандартах ЦБ, однако они не конкретизированы и нет четкого регламента, как осуществлять контроль в этой сфере, рассказывает руководитель экспертного направления Solar Security Андрей Прозоров.

Не уследили за лимитом

НКО «Объединенная расчетная система» (ОРС, позволяет держателям карт банков-участников снимать средства с карт Visa и MasterCard по выгодным тарифам) потеряла более 470 млн руб. из-за мошенников, снимавших деньги по картам банка «Кузнецкий». ОРС пришлось возместить потери своим банкам-участникам (всего их 15), через банкоматы которых совершались операции по снятию наличных с картами банка «Кузнецкий», писал портал banki.ru. Пострадавшие, выдав 16 августа 2015 г. в своих банкоматах клиентам банка «Кузнецкий» почти 500 млн руб., столкнулись с проблемами при получении возмещения от ОРС – операции оказались мошенничеством. Позже ОРС пыталась взыскать эти средства с Компании объединенных кредитных карточек (работает под брендом UCS), поскольку сочла, что UCS, как операционный центр, обязан контролировать расходные лимиты участников.

Основатель Chronopay Павел Врублевский рассказывает, что его компания не попадает под надзор ЦБ, но поскольку его компания работает с картами, то она должна соответствовать стандартам безопасности международных платежных систем. Приведение к этому стандарту банков, торговых точек и провайдеров осуществляется частными компаниями, которые имеют лицензии от Visa и MasterCard на проведение аудита. «Мы должны раз в год проходить аудит, без этого мы не можем принимать карты», – объясняет Врублевский. Он считает логичным, если полномочия на такую проверку частным компаниям даст и ЦБ: «Тогда это будет работать».

Самый главный вопрос, по мнению Прозорова, – придумать, как именно осуществлять контроль, поскольку у ЦБ есть и другие приоритеты, а ресурсов не хватает. Одно из возможных решений – это контроль через аккредитованные организации.

Скорее всего, предполагает Голенищев, ЦБ возложит функции контроля за такими организациями на сами банки, но у них также ограничены ресурсы. Сотрудник одного из процессинговых центров указывает, что его компания и так проходит регулярные проверки, которые требуют платежные системы: «Если надо будет проходить еще один аудит для банков, то будем проходить и его». По его мнению, будет лучше, если процессинги смогут взаимодействовать с регулятором напрямую: «Учитывая, что у нас десятки банков, то разумнее выстраивать коммуникацию через нас, а не наоборот».

Наличие сертификатов от международных платежных систем, в том числе у процессоров, чьими услугами пользуются банки, должно снимать основную часть вопросов к банкам в сфере информационной безопасности, считает заместитель гендиректора UCS Александр Кузнецов. По его мнению, вполне разумно, если регулятор будет выстраивать систему требований к информационной безопасности и систему контроля, которые будут признаны международными карточными системами и будут основываться на единых требованиях для всех зарегистрированных в России платежных систем. В этом случае организациям, занимающимся процессингом карточных данных различных платежных систем, нужно будет ежегодно проходить проверку только одной уполномоченной частной организации, признаваемой как регулятором, так и самими системами, надеется Кузнецов.

«Картстандарт» от комментариев воздержался.