1 июля Минюст зарегистрировал новое Указание Банка России №3007-У от 05.06.2013 года «О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (текст в Консультант+). Изменений не так уж и много:
- Вводится понятие инцидента, связанного с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств.
- Вводится требование требование регистрации действий клиента в АБС. Про это я уже писал (тут и тут). Пожалуй, это одно из самых важных изменений.
- Уточняется субъект, осуществляющий регистрацию инцидентов.
- Устанавливается требование проведения оценки соответствия по 202-й форме отчетности в течение 6 месяцев с момента получения статуса оператора по переводу денежных средств, оператора платежной системы, оператора услуг платежной инфраструктуры. Иными словами ждать до 2014-го года не стоит — стоит процесс ускорить. Для тех, кто уже определился со своей ролью, срок проведения оценки соответствия — 6 месяцев с момента вступления в силу Указания 3007-У.
- В соответствие с внесенными изменениями в основной текст введены изменения в Приложение 2.
- В приложении 2, в п.59 наконец-то уточнили, что проверять наличие сертификатов ФСБ надо только у СКЗИ российского происхождения, а не у всех, которые могут использоваться в рамках НПС.
Если в предыдущей редакции требование пп 2.6.3, которое касается регистрации действий клиентов и с профилями клиентов, можно было не выполнять, не имея технической возможности, то теперь оно становится обязательным. Для ОПДС это прописано четко, а формулировка для БПА оставляет вопрос. Можете объяснить?
Алексей, а Вы не в курсе, для тех, кто уже сделал самооценку по 382-П и направил сведения в ЦБ до принятия 3007-У надо проводить ее заново по новым требованиям или достаточно прежней?
А вот фиг знает. Думаю переделывать не нужно. Закон обратной силы не имеет
А какова будет роль в системе НПС, к примеру, процессинговой компаний, предлагающей услуги по подключению различных способов оплаты, в том числе с помощью банковских карт и электронных денежных средств? К кому она относится в системе НПС, к ОПДС, ОПЭДС, ОУПИ, БПА?
Компания является НКО и имеет лицензию на осуществление следующих банковских операции:
1. Открытие и ведение банковских счетов юридических лиц.
2.Осуществление переводов денежных средств по поручениям юридических лиц, в том числе банков-корреспондентов по их банковским счетам.
3. Осуществление переводов денежных средств без открытия банковских счетов, в том числе электронных денежных средств (за исключением почтовых переводов).
ОУПИ
А почему ОУПИ? В законе об НПС указаны следующие признаки, характеризующие направление деятельности оператора услуг платежной инфраструктуры в платежной системе:
ОЦС – операционный центр платежной системы, привлеченный оператором платежной системы, соответствующий требованиям, установленным статьей 17 Федерального закона № 161-ФЗ;
ПКЦС – платежный клиринговый центр платежной системы, привлеченный оператором платежной системы, соответствующий требованиям, установленным статьей 18 Федерального закона № 161-ФЗ;
РЦС – расчетный центр платежной системы, привлеченный оператором платежной системы, соответствующий требованиям, установленным статьей 19 Федерального закона № 161-ФЗ.
Вот и возникает вопрос о роли процессинга в НПС.
А что процессинг делает?
Процессинг — это обработка информации, которая используется при совершении платежей. Смущает то, что в законе о НПС ничего про это не сказано.