Для полной уверенности регулятору недостает надзора за независимыми провайдерами.
ЦБ хочет усилить контроль за безопасностью платежей
М. Стулов / Ведомости

Центробанк намерен распространить контроль за безопасностью платежных услуг на более широкий круг участников и уже разрабатывает для этого положение, рассказал замначальника управления наблюдения и надзора в Национальной платежной системе (НПС) департамента НПС ЦБ Илья Свечников.

 

В частности, по словам Свечникова, ЦБ рассчитывает косвенно регулировать компании, с которыми сотрудничают банки (аутсорсинг): сторонние процессинговые центры, эквайринговые шлюзы и т. д. Эти компании не попадают под надзор ЦБ и их деятельность никак не регулируется, а в последнее время проблемы и уязвимости обнаруживаются в том числе на стороне этих компаний, объясняет он (см. врез). ЦБ не может регулировать их напрямую, однако он может предъявлять требования к банкам по работе с ними, замечает он.

 

Положение в целом усиливает контроль за информационной безопасностью платежных систем, привлеченных банковских платежных агентов, резюмирует Свечников. По его словам, сейчас проект проходит юридическую экспертизу.

 

Нововведения ЦБ могут коснуться внешних процессинговых центров, среди крупнейших – USC (обслуживает 140 банков, по данным сайта) и «Картстандарт» (110 банков), а также эквайринговых компаний, обеспечивающих прием карт в интернете.

 

 

Требования к защите информации в НПС уже прописаны в положении ЦБ 382-П (касается защиты информации при переводе денежных средств) и стандартах ЦБ, однако они не конкретизированы и нет четкого регламента, как осуществлять контроль в этой сфере, рассказывает руководитель экспертного направления Solar Security Андрей Прозоров.

 

Компании, привлекаемые банками на аутсорсинг, сертифицируются в Visa и MasterCard, объясняет директор дирекции мониторинга электронного бизнеса Альфа-банка Алексей Голенищев. У Visa и MasterCard есть стандарт (PCI DSS), который устанавливает требование к хранению и передаче конфиденциальных данных, продолжает он, и если компании используют криптографические средства защиты информации, то они помимо этого проходят сертификацию в российских органах. «В принципе, все уже есть, хотя напрямую ЦБ контроль не осуществляет», – рассказывает Голенищев. Он также указывает, что Visa и MasterCard компании не российские и, наверное, логично иметь именно российский контроль со стороны ЦБ.

Читать далее