Законопроект «О национальной платежной системе»

Попал мне в руки законопроект «О национальной платежной системе», о которой говорят много и активно чиновники разных уровней. До 31-го марта законопроект должен быть подготовлен и внесен в ГосДуму. Суть его проста — регулировать деятельность организаций — операторов по переводу денежных средств, операторов по приему платежей, операторов платежных систем, операторов услуг платежной инфраструктуры и определить требования к функционированию платежной системы. Ну а по простому — у нас хотят построить свою Visa или MasterCard 😉

Теперь о процессинге. Из статьи 9: «Банк России вправе устанавливать требования к деятельности операционных центров значимых платежных систем, включая требования к бесперебойности, информационной безопасности, а также порядок оценки соответствия операционных центров значимых платежных систем установленным требованиям«. Требования PCI DSS отдыхают. И хотя ЦБ не раз заявлял, что их СТО во многом схож с PCI DSS, выполнять придется требования СТО, а не PCI DSS… с прохождением оценки соответствия (скорее всего в ABISS).

С процессингом связан и гораздо более неприятный для всех момент (он так и кочует из версии в версию и менять его пока никто не собирается, хотя попытки есть): процессинговые центры «не вправе передавать информацию, касающуюся переводов денежных средств, осуществляемых на территории Российской Федерации, на территорию иностранных государств или предоставлять доступ к ней с территории иностранных государств«. Что это значит для простых граждан? Вы не сможете оплатить имеющейся у вас картой Visa или MasterCard покупку в магазине! Вы не сможете снять зарплату с карты! Вы не сможете перевести деньги через Western Union! И т.п. А все потому, что нередко процессинг (по крайней мере у европейских и азиатских банков, не говоря уже о самой Visa и MasterCard) располагаются за пределами РФ.

Законопроект вводит такие понятия, как расчетный и клиринговый центр. Требования по управлению рисками в них устанавливает также Банк России (пора изучать 242-П, 76-Т, 2194-У и т.п.). К обычным участникам платежной системы относятся операторы по переводу денежных средств и приему платежей, участники рынка ценных бумаг, почта и т.п. Чтобы стать участником платежной системы надо будет выполнить ряд условий, в т.ч. и требования по ИБ. Все участники «обязаны выполнять требования по оценке и управлению рисками, предусмотренные правилами платежной системы«.

Теперь об информационной безопасности. Операторы платежной системы обязаны обеспечить оценку и управление рисками, а также разработать меры обеспечения информационной безопасности в платежной системе и обеспечить контроль их соблюдения. Ключевым регулятором (в текущей редакции законопроекта) является Банк России. Об этом говорит отдельная, 17-я статья: «Информационная безопасность в платежной системе обеспечивается в соответствии с требованиями законодательства Российской Федерации совокупностью технологических и организационных мер, аппаратно-программных и технических средств защиты информации. Оператором платежной системы, участниками платежной системы, операторами услуг платежной инфраструктуры должна проводиться оценка соответствия информационной безопасности в платежной системе требованиям к обеспечению информационной безопасности в порядке, установленном правилами платежной системы. Банк России вправе устанавливать требования к обеспечению и порядок оценки информационной безопасности в значимых платежных системах«.

Отдельный раздел законопроекта посвящен национальной платежной карте (аналог Visa или MasterCard). Будет создан аналог Visa в России, который «разрабатывает и принимает стандарты …обеспечения информационной безопасности, обеспечивает контроль за их соблюдением«. Теперь у нас будет свой аналог PCI DSS.

ЗЫ. С момента опубликования ФЗ выделяется 6 месяцев на его вступление в силу. За это время все участники должны будут выполнить требования по ИБ 😉