Законопроект о НПС внесен в ГосДуму

Правительство в понедельник внесло в Госдуму законопроект «О национальной платежной системе» и «О внесении изменений в некоторые законодательные акты Российской Федерации, а также «О признании утратившими силу Федерального закона «О деятельности по приему платежей физических лиц, осуществляемой платежными агентами» и некоторых положений законодательных актов Российской Федерации в связи с принятием Федерального закона «О национальной платежной системе«. Что он принесет рынку ИБ? Т.к. он не сильно по «нашей» теме меняется последние полгода (да и в его обсуждении безопасники почти не принимают участие), то можно говорить, что он в таком виде и дойдет по подписания у Президента.

Итак, что такое НПС? Согласно законопроекта — это «совокупность операторов по переводу денежных средств, включая операторов электронных денег, платежных агентов (субагентов), операторов платежных систем, операторов услуг платежной инфраструктуры, участников финансовых рынков, органов федерального казначейства и организаций федеральной почтовой связи при осуществлении ими деятельности, связанной с переводом денежных средств (субъекты национальной платежной системы)«. Сразу хочу отметить, что в НПС входят не только банки, но и, например, почтовые отделения, операторы по переводу электронных денег (тот же Яндекс.Деньги или WebMoney), пенсионные фонды, профессиональные участники рынка ценных бумаг, а также любая другая организация или индивидуальный предприниматель, которая принимает от физлиц наличные деньги. Т.е. НПС — это масштабная система по количеству участников.

«Наша» тема описана в трех статья — 18-ой, 19-ой и 20-ой. 18-я требует, чтобы все участники НПС, исключая субагентов, расчетные, клиринговые и операционные центры, соблюдали требования по обеспечению банковской тайны в соответствие с требованиями закона «О банках и банковской деятельности». При этом требования соблюдения БТ для указанных исключений даны во втором законопроекте (см.ниже).

19-я статья (тот же номер у статьи по защите в ФЗ-152) говорит об обеспечении защиты информации платежной системы. Требования по защите устанавливает Правительство, а контроль и надзор за ними осуществляют ФСБ и ФСТЭК. Эти требования обязательны для всех субъектов НПС. Также для них обязательны требования (при переводе денежных средств), устанавливаемые ЦБ. Эти требования должны быть согласованы с ФСТЭК и ФСБ, а контроль за их исполнением ложится на ЦБ.

Со стороны Правительства, ФСТЭК и ФСБ пока никаких требований по безопасности НПС не было (хотя слухи о том, что ФСТЭК разрабатывает документ по защите платежных систем ходят). А вот то, что сделает ЦБ примерно понятно (хотя и не финально). Требования по защите прописаны в СТО, который уже согласован с ФСТЭК и ФСБ (по проекту ПДн), и ЦБ врядли будет писать что-то новое. Хотя… мало ли что нас ждет в будущем.

Дополнительно к ст.19, в ст.20 для операторов платежных систем устанавливается требование наличия системы управления рисками в соответствие с нормативными требованиями ЦБ (скорее всего речь пойдет о 76-Т, Базель II, 197-Т, 36-Т и т.п.).

Интересно, что участники НПС могут подключаться к т.н. трансграничной платежной системе (Visa, AmEx, MasterCard и т.п.), но при выполнении последней ряда условий, в т.ч. и всех требований ФЗ об НПС. Это значит, что Visa должна будет соблюдать требования ФСТЭК и ФСБ по защите информации о денежных средствах. Интересно будет посмотреть, как будет реализовано данное требование.

За невыполнение данных требований предусмотрено несколько видов наказания:

  • приостановление деятельности (для клиринговых и расчетных центров)
  • исключения из реестра операторов платежной системы (для оператора платежной системы)
  • административная ответственность

Закон вступает в силу по истечение года с момента его опубликования.

Второй закон о внесении изменений содержит много разных поправок в действующие законы, но по «нашей» части изменения касаются только ст.26 закона «О банках и банковской деятельности» (расширяя список лиц, обязанных соблюдать банковскую тайну) и в КоАП добавляется новая статья 15.26.1 «Нарушение законодательства о национальной платежной системе». Штраф до 200 тысяч рублей распространяется только на операторов платежных систем, операционные и клиринговые центры.

ЗЫ. Достаточно интересно читать законопроект, в контексте работы Visa, MasterCard и т.п. платежных систем. Исходя из текста законопроекта они становятся участниками НПС, но… обязаны будут строить процессинг здесь, т.к. законом будет запрещена передача информации зарубеж по переводам денег (или доступ к процессингу из-за рубежа). Исключений только два — резервное хранение данных заграницей или передача данных только платежной карте и только в объеме суммы, валюты и PAN/CVV (ФИО и адрес клиента передавать запрещено).

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. pushkinist

    на инфосекуритираша седня на эту тему занятный круглый стол был как раз с представителями фсб.

    Ответить
  2. Алексей Лукацкий

    Причем к общему мнению так и не пришли. ЦБ-то отсутствовал ;-(

    Ответить
  3. pushkinist

    сложилось впечатление, что общее мнение все же было, и формулируется оно как "а нафиг вообще эта нпс?" )

    Ответить
  4. Смолов Илья

    Возможно это как-то связано с вербовкой, например Потеева.

    Ответить