Законопроект «О национальной платежной системе»

Попал мне в руки законопроект «О национальной платежной системе», о которой говорят много и активно чиновники разных уровней. До 31-го марта законопроект должен быть подготовлен и внесен в ГосДуму. Суть его проста — регулировать деятельность организаций — операторов по переводу денежных средств, операторов по приему платежей, операторов платежных систем, операторов услуг платежной инфраструктуры и определить требования к функционированию платежной системы. Ну а по простому — у нас хотят построить свою Visa или MasterCard 😉

Теперь о процессинге. Из статьи 9: «Банк России вправе устанавливать требования к деятельности операционных центров значимых платежных систем, включая требования к бесперебойности, информационной безопасности, а также порядок оценки соответствия операционных центров значимых платежных систем установленным требованиям«. Требования PCI DSS отдыхают. И хотя ЦБ не раз заявлял, что их СТО во многом схож с PCI DSS, выполнять придется требования СТО, а не PCI DSS… с прохождением оценки соответствия (скорее всего в ABISS).

С процессингом связан и гораздо более неприятный для всех момент (он так и кочует из версии в версию и менять его пока никто не собирается, хотя попытки есть): процессинговые центры «не вправе передавать информацию, касающуюся переводов денежных средств, осуществляемых на территории Российской Федерации, на территорию иностранных государств или предоставлять доступ к ней с территории иностранных государств«. Что это значит для простых граждан? Вы не сможете оплатить имеющейся у вас картой Visa или MasterCard покупку в магазине! Вы не сможете снять зарплату с карты! Вы не сможете перевести деньги через Western Union! И т.п. А все потому, что нередко процессинг (по крайней мере у европейских и азиатских банков, не говоря уже о самой Visa и MasterCard) располагаются за пределами РФ.

Законопроект вводит такие понятия, как расчетный и клиринговый центр. Требования по управлению рисками в них устанавливает также Банк России (пора изучать 242-П, 76-Т, 2194-У и т.п.). К обычным участникам платежной системы относятся операторы по переводу денежных средств и приему платежей, участники рынка ценных бумаг, почта и т.п. Чтобы стать участником платежной системы надо будет выполнить ряд условий, в т.ч. и требования по ИБ. Все участники «обязаны выполнять требования по оценке и управлению рисками, предусмотренные правилами платежной системы«.

Теперь об информационной безопасности. Операторы платежной системы обязаны обеспечить оценку и управление рисками, а также разработать меры обеспечения информационной безопасности в платежной системе и обеспечить контроль их соблюдения. Ключевым регулятором (в текущей редакции законопроекта) является Банк России. Об этом говорит отдельная, 17-я статья: «Информационная безопасность в платежной системе обеспечивается в соответствии с требованиями законодательства Российской Федерации совокупностью технологических и организационных мер, аппаратно-программных и технических средств защиты информации. Оператором платежной системы, участниками платежной системы, операторами услуг платежной инфраструктуры должна проводиться оценка соответствия информационной безопасности в платежной системе требованиям к обеспечению информационной безопасности в порядке, установленном правилами платежной системы. Банк России вправе устанавливать требования к обеспечению и порядок оценки информационной безопасности в значимых платежных системах«.

Отдельный раздел законопроекта посвящен национальной платежной карте (аналог Visa или MasterCard). Будет создан аналог Visa в России, который «разрабатывает и принимает стандарты …обеспечения информационной безопасности, обеспечивает контроль за их соблюдением«. Теперь у нас будет свой аналог PCI DSS.

ЗЫ. С момента опубликования ФЗ выделяется 6 месяцев на его вступление в силу. За это время все участники должны будут выполнить требования по ИБ 😉

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Vair

    Похоже интеграторы уже могут расширять разделы презентаций со "страшилками"…

    Ответить
  2. Quiet Zone

    То есть новые требования будут параллельно с PCI DSS (для Visa) cуществовать? Или национальная платежная система может быть построена на базе Visa с условием отказа от трансграничной передачи транзакций?

    Ответить
  3. Ригель

    Еще один Глонасс, теперь банковский со вкусом смородины.

    Ответить
  4. Алексей Лукацкий

    Visa не планирует создание процессинга в России — бизнес-кейса нет. И в любом случае все будет параллельно, т.к. PCI DSS — это международные требования, а требования НПС — сугубо локальные. Они могут и будут совпадать процентов на 80, но оценка соответствия будет раздельной.

    Ответить
  5. malotavr

    "То есть новые требования будут параллельно с PCI DSS (для Visa)"

    Алексей,
    ты совсем людей застращал.

    Подтверди, пожалуйста, что в законопроекте идет речь О СОЗЛАНИИ С НУЛЯ совершенно отдельной платежной системе, и что все тобой перечисленное ОТНОСИТСЯ ТОЛЬЕО К НЕЙ. Я законопроект не видел, но сильно подозреваю, что в нем прописано именно это.

    В противном случае для принятия этого закона придется отменить фундаментальную норму российского права, согласно которой деятельность международных платежных систем и их клиентов регулируется законодательством страны, в которой обитают владельцы этих систем 🙂

    Если кто не в курсе, то банки это уже проходили. Точно таким же образом и точно с такими же требованиями уже создана система межбанковских платежей реального времени. Никто не загоняет банки в эти системы, но если уж хотите участвовать — извольте соответствовать. Параллельно с этим SWIFT как работал, так и работает.

    Отличие национальной платежной системы от системы межбанковских платежей заключается в том, что в ней участвуют организации, не подчиняющиеся ЦБ, поэтому для ее регулирования нужен отдельный ФЗ. 🙂

    Присоединяюсь к Ригелю.

    Ответить
  6. Алексей Лукацкий

    Да, с нуля и только к ней. Но есть две проблемы. Первая — западный процессинг, который будет вне закона. Вторая — как бы потенциальных участников платежной системы не силком загоняли в НПС.

    Ответить
  7. malotavr

    Этот комментарий был удален автором.

    Ответить
  8. malotavr

    > Первая — западный процессинг, который будет вне закона.

    Почему же вне закона? Он действует в рамках договора присоединения, который банк заключил с МПС. А исполнение этого договора в соответствии сн= нормами ГК определяется законодательством страны, в которой находится владелец МПС. Это, кстати, позволяет банкам уклоняится от ответственности перед клиентами по фроду с пластиковыми картами 🙂

    > Вторая — как бы потенциальных участников платежной системы не силком загоняли в НПС

    А я тебе даже скажу, как это сделают 🙂 Вместо непрозрачных для клиента (и не подсудных российским судам) правил Визовского арбитража в НПС будет арбитраж с презумпцией ответственности банка перед држателем карты (поскольку это требование действующего ЗоЗПП). В этих условиях и я, и ты, и любой нормальный человек для внутренних платежей выберет карту НПС. А для внешних платежей бане сам тебе предложит Визу в качестве доп. карты к тому же счету. Ну, будет у тебя не два механизма доступа к счету, как сейчас, а три. Неудобство как плата за снижение твоих же рисков 🙂

    А если НПС окажется слишком неудобной, ты сохранишь верность Визе и все останется как есть.

    Ответить
  9. Алексей Лукацкий

    По поводу гарантий ты путаешь 😉 Наши граждане не доверяют государству и его инициативам (даже запущенными с благими намерениями) и они будут по прежнему ориентироваться на Визу, а не НПС.

    Что же касается первого вопроса, то не все так просто. С точки зрения ГК ты прав, но теперь посмотри на это с точки зрения издержек. Если у банка или существуюшей платежной системы есть процессинг за границей, то он? захотев присоединиться к НПС, встанет перед дилеммой — завести НПС на существующий процессинг или создавать новый, специально для НПС. Второе — малореально. Бизнес-кейса нет. Первое — невозможно по законопроекту.

    Ответить
  10. malotavr

    > Наши граждане не доверяют государству

    Это до тех пор, пока они не сталкиваются на практике с необходимостью защищать свои права в трудовых спорах, при оказании некачественной услуги или при нежелани страхловщика расставаться с деньгами. После этого граждане обычно проникаются большой любовью к соответствующим законам — по себе знаю 🙂

    Это я к тому, что ЦБ может сделать НПС привлекательной для клиентов банков. Было бы желание 🙂

    Ответить
  11. Алексей Лукацкий

    Ну защищать свои права, что с российским банком в НПС, что с иностранным в МПС, — никакой разницы. Стремно и не все хотят идти в суды 😉

    И я не верю в желание законодателей и регуляторов сделать что-то для граждан 😉

    Ответить
  12. Анонимный

    Очередной тупой законопроект, который, надеюсь никогда не будет проведен.

    Ответить