Депутаты Госдумы России внесли поправки в закон о Национальной платежной системе.
Синиша Нарич, Khen Group – information Security and Technology Risk Consulting (Милан)
В ответ на американские санкции, выразившиеся, в частности, в блокировке транзакций по банковским карточкам Visa и Mastercard для клиентов банка «Россия» и некоторых других банков, в том числе СМП Банка и Инвесткапиталбанка, депутаты Госдумы России внесли поправки в закон о Национальной платежной системе, согласно которым «в целях обеспечения бесперебойности осуществления переводов денежных средств» на территории России предлагается запретить размещение операционных центров и платежных клиринговых центров платежных систем за пределами России.
Также предлагается запретить операционному и платежному клиринговому центру передавать информацию о переводах денежных средств, осуществляемых в рамках платежной системы операторами, находящимися на территории России, на территорию иностранного государства или предоставлять доступ к ней с территории другого государства — за исключением случаев трансграничного перевода средств. В пояснительной записке также указано, что предлагается вступление в силу этих положений с 1 октября 2014 года.
Одновременно с этим зазвучали обещания развивать УЭК и оперативно развивать национальный процессинг. Согласно некоторым источникам, в данный момент рассматриваются две опции: перевод процессинга в зону китайской платежной системы China UnionPay и создание и запуск альтернативных отечественных платежных систем «Универсальная электронная карта», «Золотая корона» или Union Card.
Тот или иной сценарий будет реализован. Даже если бизнес Visa и Mastercard в России сохранится, то импульс, данный альтернативным платежным системам, приданный в последние дни, вряд ли ослабнет настолько, чтобы превратиться в одно лишь воспоминание.
Игра майнкрафт. Поиск пещеры. Сражение с Зомби. Выживание.
Итак, если допустить, что поправки в закон будут приняты, и с 1 октября 2014 года все платежные центры будут находиться на территории России, а значит, состоится большая процессинговая миграция, – каким образом это может отразиться на безопасности онлайн-расчетов и платежей по кредитным картам?
Мой ответ будет неожиданным: практически никак. Я не думаю, что миграция на новую платежную систему будет болезненной с точки зрения информационной безопасности.
И вот почему. Во-первых, несмотря на свою не слишком богатую историю, российские финансовые институты обладают немалым опытом в области информационной безопасности и сегодня пользуются в общем и целом передовыми технологиями.
Кроме того, мировой рынок ИБ-технологий сегодня достаточно развит для того, чтобы вновь создаваемая платежная система могла бы воспользоваться самыми современными разработками для защиты своего процессинга. Поэтому следует ожидать, что этот вопрос будет решен – правда, возможно, это потребует большего времени, чем остается до 1 октября текущего года.
Степень дисциплинированности, продемонстрированная российскими банками в принятии стандартов PCI DSS, была достаточно высокой, чтобы сомневаться в том, что новые стандарты будут внедрены с меньшей аккуратностью.
Так или иначе, создание новой платежной системы должно будет сопровождаться внедрением принципиально новых политик информационной безопасности, новых стандартов и мер, эту информационную безопасность обеспечивающих. К примеру, вместо используемого сейчас повсеместно пин-кода как основного барьера безопасности, можно внедрить повсеместную систему строгой мультифакторной аутентификации как для транзакций, проводимых без физического использования пластиковой карты, так и для транзакций с таким использованием.
Обеспечение должного уровня безопасности могло бы быть достигнуто также путем использования технологии OTP – одноразового пароля для всех онлайн-транзакций. Затраты на внедрение подобных технологий с лихвой окупились бы существенным сокращением числа мошеннических транзакций.
Что особенно важно, имплементация подобных средств информационной безопасности для существующих платежных систем сопряжена с большим числом технологических изменений и требует времени, тогда как при вводе новой платежной системы они могли бы внедряться уже на этапе строительства этой системы.
