Главная » Выплаты и компенсации

Тонкости работы с виртуальной валютой.

Глава 5. Расчетная система национальной платежной системы

§ 1. Операторы услуг платежной инфраструктуры и требования к их деятельности

Операторы услуг платежной инфраструктуры относятся к элементам третьего уровня национальной платежной системы, посредством которых обеспечивается взаимодействие при осуществлении платежных услуг между всеми заинтересованными лицами. Эти элементы вместе с операторами платежных систем образуют инфраструктуру национальной платежной системы.

В законодательстве предусмотрено существование трех видов операторов услуг платежной инфраструктуры.

Операционный центр. Эта организация обеспечивает в рамках платежной системы для ее участников и их клиентов доступ к услугам по переводу денежных средств, в том числе с использованием электронных средств платежа, а также обмен электронными сообщениями (операционные услуги). Операционный центр может осуществлять иные действия, связанные с использованием информационно-коммуникационных технологий, необходимые для функционирования платежной системы и предусмотренные правилами платежной системы.

Операционный центр осуществляет свою деятельность на основании договоров об оказании операционных услуг с оператором платежной системы, участниками платежной системы, платежным клиринговым центром и расчетным центром, если заключение таких договоров предусмотрено правилами платежной системы. В платежной системе может быть несколько операционных центров.

Платежный клиринговый центр. Это организация, обеспечивающая в рамках платежной системы оказание услуг платежного клиринга. В случае если платежная система осуществляет переводы денежных средств по сделкам, совершенным на организованных торгах, услуги платежного клиринга могут оказываться в рамках клиринговой услуги клиринговой организацией, осуществляемой в соответствии с Законом о клиринге. Платежным клиринговым центром может быть как кредитная организация, так и организация, не являющаяся кредитной.

Платежный клиринговый центр осуществляет свою деятельность в соответствии с правилами платежной системы и на основании договоров об оказании услуг платежного клиринга, заключаемых с участниками платежной системы, операционным центром и расчетным центром, если заключение таких договоров предусмотрено правилами платежной системы.

В платежной системе может быть несколько платежных клиринговых центров. Договор об оказании услуг платежного клиринга, заключаемый с участниками платежной системы, является договором присоединения.

Расчетный центр - организация, обеспечивающая в рамках платежной системы исполнение распоряжений участников платежной системы посредством списания и зачисления денежных средств по банковским счетам участников платежной системы, а также направление подтверждений, касающихся исполнения распоряжений участников платежной системы. Расчетным центром может выступать кредитная организация, Банк России или Внешэкономбанк.

Расчетный центр осуществляет свою деятельность в соответствии с правилами платежной системы и на основании договоров банковского счета, заключаемых с участниками платежной системы и (или) центральным платежным клиринговым контрагентом (при его наличии), а также договоров, заключаемых с операционным центром и платежным клиринговым центром, если заключение таких договоров предусмотрено правилами платежной системы.

Расчетный центр исполняет поступившие от платежного клирингового центра распоряжения участников платежной системы посредством списания и зачисления денежных средств по банковским счетам участников платежной системы и (или) банковскому счету центрального платежного клирингового контрагента (при его наличии).

В платежной системе может быть несколько расчетных центров.

Оператором услуг платежной инфраструктуры может являться кредитная организация, организация, не являющаяся кредитной организацией, Банк России или Внешэкономбанк.

Возможность совмещения видов деятельности операторов услуг платежной инфраструктуры зависит от того, является ли оператор кредитной организацией. Кредитная организация вправе совмещать оказание операционных услуг, услуг платежного клиринга и расчетных услуг. Такое право есть также у Банка России и Внешэкономбанка. Если же оператор не является кредитной организацией, то он вправе совмещать только оказание операционных услуг и услуг платежного клиринга. Это связано с тем, что расчетный центр осуществляет банковскую операцию по списанию и зачислению денежных средств по банковским счетам участников платежной системы, а таким правом обладают лишь кредитные организации, а также Банк России и Внешэкономбанк в силу закона.

Статус кредитной организации позволяет также совмещать деятельность оператора услуг платежной инфраструктуры с деятельностью оператора по переводу денежных средств, оператора платежной системы. Оператор услуг платежной инфраструктуры, не являющийся кредитной организацией, может совмещать свою деятельность с деятельностью оператора платежной системы.

Правовой основой для взаимодействия между операторами услуг платежной инфраструктуры и другими участниками платежной системы являются нормы законодательных актов и договоры. Так, Банк России осуществляет деятельность оператора услуг платежной инфраструктуры на основании Закона о национальной платежной системе в соответствии с нормативными актами Банка России и заключаемыми договорами. Все остальные операторы услуг платежной инфраструктуры осуществляют свою деятельность в соответствии с правилами конкретной платежной системы и договорами, заключаемыми с участниками платежной системы и другими операторами услуг платежной инфраструктуры.

Таким образом, очевидно, что возможность совмещения деятельности различных видов операторов услуг платежной инфраструктуры между собой, а также с другими видами деятельности в национальной платежной системе зависит от первоначального статуса субъекта. Так, например, кредитная организация вправе осуществлять функции и оператора платежной системы, и оператора по переводу денежных средств, и любого оператора услуг платежной инфраструктуры. Организация, не являющаяся кредитной, ограничена в праве совмещения. Иными словами, организация, играющая ведущую роль в национальной платежной системе, занимает более значимое место и в ее инфраструктуре. Нельзя также не упомянуть в этой связи Банк России, который выполняет инфраструктурные функции, будучи расчетным центром в платежной системе Банка России, но при этом является ее оператором, а также оператором по переводу денежных средств.

В инфраструктуре национальной платежной системы имеются организации, которые не совмещают инфраструктурные функции с иными функциями. К ним относятся операционные центры, деятельность которых направлена исключительно на обеспечение участникам платежных систем и их клиентам доступа к услугам по переводу денежных средств, в том числе с использованием электронных средств платежа, а также возможности обмена электронными сообщениями. Эти организации никаких иных функций в национальной платежной системе не выполняют.

Требования к операторам услуг платежной инфраструктуры устанавливаются конкретной платежной системой и касаются финансового состояния, технологического обеспечения оператора и других факторов, которые могут влиять на бесперебойность функционирования платежной системы.

В целях защиты экономической безопасности и суверенитета Российской Федерации при осуществлении перевода денежных средств в рамках платежной системы операторами по переводу денежных средств, находящимися на территории Российской Федерации, должны привлекаться операторы услуг платежной инфраструктуры, которые находятся и осуществляют все функции на территории Российской Федерации.

Операторы услуг платежной инфраструктуры не вправе в одностороннем порядке приостанавливать (прекращать) оказание услуг платежной инфраструктуры участникам платежной системы и их клиентам.

Глава 2. Банк России в национальной платежной системе Российской Федерации

За исключением отдельных положений Законы N 162-ФЗ и N 161-ФЗ вступают в силу 29 сентября 2011 г.

60;физических лиц в банках Российской Федерации"" href="http://my.consultant.ru/cabinet/?mode=stat;click;d=2011-07-12;r=iw;s=consultant;dst=http%3A%2F%2Fwww.consultant.ru%2Fonline%2Fbase%2F%3Freq%3Ddoc%3Bbase%3DLAW%3Bn%3D108932">закона от 23.12.2003 N 177-ФЗ "О страховании вкладов физических лиц в банках Российской Федерации" и страхованию не подлежат.

60;платежной системе" ------------------ Не вступил в силу" href="http://my.consultant.ru/cabinet/?mode=stat;click;d=2011-07-12;r=iw;s=consultant;dst=http%3A%2F%2Fwww.consultant.ru%2Fonline%2Fbase%2F%3Freq%3Ddoc%3Bbase%3DLAW%3Bn%3D115625%3Bdst%3D100142">ч. 15 ст. 9 Закона N 161-ФЗ).

Оператор по переводу денежных средств может избежать возмещения клиенту суммы операции, совершенной без его согласия. Для этого он должен доказать, что клиент нарушил порядок использования электронного средства платежа, что и повлекло совершение такой операции (ч. 15 ст. 9 Закона N 161-ФЗ). Такие же последствия для клиента наступают, если он не был идентифицирован оператором по переводу денежных средств в соответствии с законодательством о противодействии легализации доходов, полученных преступным путем.

5. Особые требования к переводу электронных денежных средств

Согласно ч. 1 ст. 12 Закона N 161-ФЗ оператором электронных денежных средств может быть любая организация, имеющая право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций, указанная в п. 1 ч. 3 ст. 1 Закона о банках и банковской деятельности. Такое лицо обязано уведомить Банк России в установленном им порядке о начале своей деятельности по осуществлению перевода электронных денежных средств. На это отведен срок не более 10 рабочих дней со дня первого увеличения остатка электронных денежных средств. Закона N 161-ФЗ устанавливает, что оператор электронных денежных средств обязан разработать правила осуществления перевода таких средств, которые должны включать:

Порядок деятельности оператора электронных денежных средств, связанной с их переводом;

Порядок предоставления клиентам электронных средств платежа и осуществления перевода электронных денежных средств с их использованием;

Порядок деятельности оператора электронных денежных средств при привлечении банковских платежных агентов, организаций, оказывающих операционные услуги и (или) услуги платежного клиринга;

Порядок обеспечения бесперебойности осуществления перевода электронных денежных средств;

Порядок рассмотрения оператором претензий (включая процедуры оперативного взаимодействия с клиентами);

Порядок обмена информацией при осуществлении переводов электронных денежных средств.

В качестве главной и безусловной обязанности оператора электронных денежных средств установлена обязанность обеспечивать бесперебойное осуществление перевода электронных денежных средств в соответствии с требованиями, установленными нормативными актами Банка России (ч. 6 ст. 12

Проводить инспекционные проверки поднадзорных организаций;

Осуществлять действия и применять меры принуждения, если поднадзорные организации нарушили требования законодательства в сфере НПС.

Для осуществления этих полномочий Банк России вправе определять формы и сроки предоставления специальной отчетности, методику ее составления. Кроме того, он может запрашивать и получать от поднадзорных организаций и участников платежной системы документы и иную необходимую информацию, а также издавать нормативные акты, касающиеся осуществления надзора в НПС (ч. ч. 2 - 4 ст. 32 Закона N 161-ФЗ).

Банк России осуществляет плановые и внеплановые инспекционные проверки поднадзорных организаций. Плановые проверки должны проводиться не чаще одного раза в два года в соответствии с утверждаемым Банком России планом проверок (ч. 1 ст. 33 Закона N 161-ФЗ). Внеплановые проверки должны осуществляться при нарушении бесперебойности функционирования значимой платежной системы.

Также ч. 3 ст. 33 Закона N 161-ФЗ установлено, что инспекционные проверки могут проводиться комплексно либо по отдельным вопросам деятельности поднадзорных организаций.

Закона N 161-ФЗ).Б) Наблюдение

Наблюдение в НПС Банк России проводит с целью совершенствования субъектами НПС своей деятельности и оказываемых ими услуг, а также развития платежных систем и платежной инфраструктуры на основе рекомендаций Банка России (ч. 5 ст. 31 Закона N 161-ФЗ).

Наблюдение в НПС включает следующие виды деятельности:

Сбор, систематизацию и анализ информации о деятельности субъектов НПС и связанных с ними объектов наблюдения (мониторинг);

Оценку деятельности наблюдаемых организаций и связанных с ними объектов наблюдения (оценка);

Подготовку по результатам оценки предложений по изменению деятельности оцениваемых наблюдаемых организаций и связанных с ними объектов наблюдения (инициирование изменений).

О банках и банковской деятельности понятие "расчеты" как банковская операция было заменено термином "перевод денежных средств". Из текста данного РФ, а также в Федеральный закон от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" предполагают создание Государственной информационной системы о государственных и муниципальных платежах.

Федеральный закон от 25.02.1999 N 40-ФЗ "О несостоятельности (банкротстве) кредитных организаций" дополнен следующим правилом. Сделка, совершенная кредитной организацией - участником или субъектом платежной системы, по которой такая организация несет обязательства в результате определения платежных клиринговых позиций (на нетто-основе) в рамках платежной системы, при условии соответствия требованиям Закона N 161-ФЗ не может быть признана недействительной согласно законодательству о банкротстве.

В Федеральный закон от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" введена новая норма. Согласно ей при осуществлении перевода денежных средств по требованию клиента - физического лица его идентификация обязательна лишь в случае, если сумма перевода превышает 15 тыс. руб. или эквивалентную сумму в иностранной валюте.

В Кодекс РФ об административных правонарушениях введены составы административных правонарушений, предусматривающие ответственность за неисполнение требований Закона N 161-ФЗ в виде штрафа, который может достигать 500 тыс. руб. (ст. 15.36 КоАП РФ).

Примечательны изменения, внесенные в Федеральный закон от 07.07.2003 N 126-ФЗ "О связи". Закон N 162-ФЗ устанавливает, что денежные средства, являющиеся авансом абонента - физического лица за услуги связи, могут быть использованы для увеличения его остатка электронных денежных средств в соответствии с

Сразу отмечу, что будет много букв и слов, а также придется нагружать многими нюансами из банковской сферы, и речь будет идти в основном про пластиковые карты. Поэтому для тех, кому это сложно - не читайте. Или перелистните вниз, где будут выводы.

В свое время я не внимательно отнесся к закону 161-ФЗ . Прочитав те уточнения, которые были приняты вечера Государственной Думой, вы знаете, просто ужаснулся. Нет, я предполагал ответные шаги со стороны наших законодателей в отношении международных платежных систем Visa, MasterCard. Однако подобного не ожидал увидеть. Предлагаю посмотреть почему.

Для начала взглянем на терминологию. Начнем с малого и самого очевидного, во всяком случае, для меня - "оператор платежной системы ". Вы несколько раз перечитайте это определение... Оператор тот, кто работает с чем-то или с кем-то. Как Visa и MasterCard могут работать сами с собой? В банковской сфере эти организации всегда именуются как "Платежные Системы ". Они являются оконечным процессинговым центром. Но никак не "оператором". Под это определение можно также и, например, подвести компанию "Рукард" или любой крупный банк, как "СберБанк". Последние перечисленные организации как раз и являются операторами, так как работают с платежной системой либо Visa, либо MasterCard, т.е. используют готовый продукт. Сразу же приходит на ум, а Микрософт - это оператор операционной системы Windows?

Далее, "переводы денежных средств ". Что за странный термин? Есть "Анелик", есть "WesternUnion", вот там это денежные переводы. О чем вообще идет речь, если закон изначально разрабатывался под "Национальную Платежную Систему", которая в первую очередь имеет под собой основу в виде пластиковых карт, служащих в свою очередь, для оплаты товаров и услуг, а также получения наличных средств? В банковской сфере переводы денежных средств, оплата товаров и услуг и получение наличных средств - это совершенно разные операции, которые проходят через бухгалтерию под разными "символами" (кодами). Ок, тогда давайте уже обзовем "операцию", когда вы расплачиваетесь с продавцом за товар наличными "переводом денежных средств". Как такой вариант? ** На самом деле я несколько поглумился над этим термином, формально до сих пор все платежи по пластиковым картам у нас приравнены к наличным денежным операциям и это серьезная головная боль для бухгалтеров. Вот этот вопрос нужно было решать в первом порядке.

Не буду уже придираться к терминологии, это нерационально. Перейдем к непосредственно отношениям.

Платежная система и ее участники

Термины и определения.

Платежная система - организация, предоставляющая технологии для облегчения обслуживания клиентов как физических, так и юридических лиц в кредитной организации с помощью средств идентификации (инструментов), в частности таких, как пластиковые карты.

Эмитент - кредитная организация, которая лицензирована Платежной системой для выпуска инструментов по осуществлению клиентами работы со своими денежными средствами, в данном случае пластиковых карт.

Эквайер - кредитная организация, которая занимается обслуживанием клиентов, владельцев пластиковых карт банков-эмитентов.

Агрегатор - организация, осуществляющая перевод денежных средств, оплату за товары и услуги владельцев пластиковых карт банка-эмитента. (Например, Assist, CyberPlat, Хронопей, Элекснет).

Процессинговый центр - структура позволяющая осуществлять операции в соответствии с правилами Платежной системы.

Итак, есть Банк. Этот банк хочет стать эмитентом определенной Платежной системы. Соответственно, что приходя в эту Платежную Систему, ему предлагается стандартный договор. Далее в ходе переговоров учитываются различные нюансы, такие как рейтинг банка, его финансовое состояние, количество клиентов. В соответствии с договоренностями определяется план количества эмитированных карт, скажем за год. Банк проходит сертификацию. И размещает начальные операционные средства на корреспондентском счете Платежной системы. Эти средства необходимы для того, чтобы можно было проводить клиринговые расчеты, как с Платежной системой, так и с банками-эквайерами. Это оффлайн. И подобные расчеты проводятся раз в день, обычно. По правилам платежных систем задержка в подобных расчетах не должна превышать более трех дней. Наличие "несгораемой" суммы на счете Платежной системы сделано для того, чтобы оперативно рассчитаться с другими участниками программы или по-другому, банками-эквайерами.

В правилах международных Платежных систем также есть другое правило: банк-эквайер не может брать комиссию при операциях выдачи наличных (исключение, о, да, бывшая локальная система STB), а также при совершении операций с помощью пластиковых карт в торгово-сервисных предприятиях (последнее не может делать также и банк-эмитент). Исключение составляют такой тип операций, как именно перевод денежных средств, по типу оплаты коммунальных платежей или штрафов, или перевода с карты на карту.

Каждый участник международной Платежной системы имеет свой, как это говорится, "skill", т.е. рейтинг. Дело в том, что в договорах это прописано. Что это означает? То, что при достижения череcчур низкого рейтинга за некоторый период времени или слишком частых нарушений правил Платежной системы данного участника из нее исключают. Есть такое понятие как "чарджбек". И за каждое необоснованное выставление претензий банки несут собственные потери, т.к. за арбитраж Платежная система снимает свою комиссию на судебные издержки. Именно поэтому клиенту банков зачастую трудно доказать свою правоту.

Большую часть из того, что я описал, относится к "бэк-офису", т.е. бухгалтерским операциям и клирингу, когда клиент уже совершил операцию или выставил претензию за необоснованность списания средств со своего счета.

Для тех, кто все же нашел смелость для себя и дочитал до этого момента, продолжу. "Бэк-офис" и "Фронт-офис" - две составляющие процессингого центра. "Фронт-офис" - это та система, которая позволяет вам быстро получить денежные наличные средства, товар или услугу так, как если бы вы расплачивались наличными. Ни одна, ни другая часть отдельно друг от друга не могут существовать и всегда находятся в единстве.

Ах, да. А кто же у нас Агрегатор и как он вписывается в общую схему? Банк предлагает клиентам стандартный набор услуг - получи пластиковую карту и живи. Ранее вы могли с ее помощью оплачивать в крупных магазинах свои покупки, в банкомате после зачисления зарплаты снимать все свои денежные средства со счета, ну, или оставить часть до лучших времен. Теперь же, с помощью пластиковых карт можно оплачивать интернет, мобильную связь, совершать покупки в интернет-магазинах, бронировать билеты и многое другое. Все это возможно именно с помощью Агрегаторов, которые консолидировали в себе весь тот набор, который помогает картодержателю совершать необходимые ему действия, не вставая с кресла. При этом необязательно, чтобы Агрегатор был завязан на одну кредитную организацию. Главное, чтобы он выполнял все требования этих самых кредитных организаций, а, следовательно, и Платежных систем.

Оргвыводы

Те законодательные инициативы, которые вчера, были в Государственной Думе, лично меня несколько расстроили. Все же для принятия поправок или уточнений, на мой взгляд, следовало бы привлечь специалистов из сектора пластиковых карт, т.к. именно они являются основными носителями знаний технологии и правил международных платежных систем. В данной среде существуют множество устоявшихся терминов, которыми пользуются, в том числе и в договорах. В данной среде существует серьезное понимание всех технологических процессов.

И наконец, регулирование прав всех участников Платежных систем. Объединенная Расчетная Система (ОРС) была создана без поддержки государства на основе Платежных систем Visa и MasterCard и замкнула на себя все локальные транзакции российских банков участников этого объединения при совершении операций через банкоматы.

Понятно, что без помощи государства нельзя обойтись в построении Национальной Платежной Системы, это все же стратегическая вещь. Но привлечь специалистов с нашей стороны, привлечь международные Платежные системы за стол переговоров, было просто необходимо. Ведь именно сейчас тот момент, когда мы можем продавить международные Платежные системы сделать продукт комбинированным: карты будут работать и с их системой и с нашей! И потом создать официальную рабочую группу, которая бы приступила к созданию нашей системы совершенно логично. Ничего этого не было сделано. Виден только "Сбербанк" на поверхности.

Какими правилами будет руководствоваться Национальная Платежная Система (НПС)? Неясно. Здесь есть нюанс - если государство заявляет об НПС и берет на себя основные функции, то хотя бы проект договора участникам будущей системы опубликуйте. На текущий момент все определения в законе размыты. Его можно трактовать как в ту, так и в другую стороны.

Зачем ЦБ РФ понадобилось принуждать вносить средства международных Платежных систем на свои корсчета также неясно. Как будут проходить взаиморасчеты в случае форс-мажорных ситуаций, например, между участниками Платежной системы Visa? И как ЦБ разберется, кому деньги возвращать, кому нет? Договора с Платежными системами заключаются в двустороннем порядке, отсюда вопрос, а где прописан механизм участия ЦБ? Если Банк потерял кредит доверия или, как я ранее говорил, свой рейтинг, Платежная система вправе отказать в участии, но при этом обязуется уведомить Банк об этом. Это заложено в правилах. В общем, кто знает ответы на эти вопросы, будьте так добры, поделитесь своими соображениями или ссылками.

В целом, ни о чем (вот оригинал). С весьма "вольными формулировками", принимавшийся в спешке. И да, если завтра вы заметите, что с вас при обслуживании по пластиковой карте сняли чуть больше денег, не удивляйтесь - банки будут компенсировать возникшие затраты за ваш счет. Потому как перевести на корсчет Платежной системы для операционных расходов 500 тысяч долларов это одно, другое отзеркалировать эту же сумму на счет в ЦБ (Платежная система вряд ли будет этим заниматься).

Одна хорошая новость - с 2016 года все же обяжут работать международные Платежные системы с внутренними региональными процессинговыми центрами. И очень надеюсь, что Национальная Платежная Система все же обретет свои черты в виде чиповых карт.

Надеюсь, в ближайшее время, когда спадет ажиотаж, все прояснится.

Специально для сайта "Война и Мир", Well

Закон накладывает определенные ограничения на состав участников платежной системы. Так, согласно проекту закона, участниками платежной системы могут являться следующие организации при условии их присоединения к правилам платежной системы:

операторы по переводу денежных средств, включая операторов электронных денег;

Правилами платежной системы может быть предусмотрено прямое, косвенное и иное участие в платежной системе. Заметим, что если прямая и косвенная формы участия внесены в закон в соответствии с международной практикой, то упоминание про «иные формы участия» соответствует российской практике, где в системе валовых расчетов в режиме реального времени Банка России (системе БЭСП) предусмотрено наличие прямых, ассоциированных и особых участников.

Прямыми участниками платежной системы в соответствии с законом, могут являться только операторы по переводу денежных средств, участники финансовых рынков и органы федерального казначейства. Прямое участие в платежной системе требует открытия банковского счета организации, становящейся прямым участником, в расчетном центре.

Косвенное участие в платежной системе требует открытия банковского счета косвенному участнику прямым участником платежной системы, являющимся оператором по переводу денежных средств.

Отношения между прямыми и косвенными участниками платежной системы регулируются правилами платежной системы и заключенными договорами банковского счета.

Оператор по переводу денежных средств - организация, которая в соответствии с законодательством Российской Федерации вправе осуществлять перевод денежных средств. Закон предусматривает, что функции оператора по переводу денежных средств могут выполнять только следующие организации:

  • 1. Банк России осуществляет деятельность оператора по переводу денежных средств в соответствии с Федеральным законом «О Национальной платежной системе», Федеральным законом «О Центральном банке Российской Федерации (Банке России)» и иными актами законодательства Российской Федерации о национальной платежной системе.
  • 2. Кредитные организации осуществляют деятельность операторов по переводу денежных средств в соответствии с Федеральным законом «О Национальной платежной системе», Федеральным законом «О банках и банковской деятельности» и иными актами законодательства Российской Федерации о национальной платежной системе.
  • 3. Внешэкономбанк осуществляет деятельность оператора по переводу денежных средств в соответствии с Федеральным законом «О Национальной платежной системе», Федеральным законом «О банке развития» и иными актами законодательства Российской Федерации о национальной платежной системе.

Оператор платежной системы - организация, определяющая правила платежной системы. Согласно проекту закона, оператором платежной системы может являться:

  • - кредитная организация;
  • - Банк России.

Оператор платежной системы, не являющийся кредитной организацией, обязан привлечь в качестве расчетного центра кредитную организацию, которая не менее трех лет осуществляет перевод денежных средств по открытым в этой кредитной организации банковским счетам, а также счетам не менее трех других кредитных организаций.

Операторы услуг платежной инфраструктуры - операционный центр, клиринговый центр и расчетный центр. Оператором услуг платежной инфраструктуры может являться:

  • - кредитная организация;
  • - организация, не являющаяся кредитной организацией;
  • - Банк России.

Оператор услуг платежной инфраструктуры, являющийся кредитной организацией или Банком России, может совмещать оказание операционных, клиринговых и расчетных услуг, в том числе в рамках одной организации. Оператор услуг платежной инфраструктуры, не являющийся кредитной организацией или Банком России, может совмещать оказание операционных и клиринговых услуг, в том числе в рамках одной организации.

Возможно, вы уже слышали про национальную платёжную систему . Изначально планировалось, что эта штука станет альтернативой международным платёжным системам. В частности, в 1998 году Виза и Мастеркард прекратили делать переводы по своим картам из-за кризиса – а их, между прочим, 85% рынка банковского пластика.

Но в самом законе акцент в итоге сделали на выводе из тени электронных платежей , которые раньше никак не контролировались, и собственно предоставлении регуляторам возможности контролировать действия банков в области безналичных денежных переводов. Сейчас речь снова зашла о полноценном создании национальной платежной системы, поэтому есть смысл ждать скорых поправок относительно блокировки передачи данных в США и других соответствующих требований.

Чтобы участвовать во всём этом, нужно проделать реально сложную работу с IT и ИБ, причём выполнить и проверить её может только организация с соответствующей лицензией. У нас такая лицензия есть, поэтому ниже я коротко обозначу основные проблемы в такого рода работах, с которыми мы уже столкнулись.

Что такое НПС?

НПС – это совокупность лиц, которые участвуют в денежных переводах. Основная цель закона – унификация подходов по осуществлению безналичных денежных переводов.

Благодаря принятию этого закона наши властные структуры планируют контроль за любыми безналичными денежными переводами.

Что это значит?

Национальная платежная систем – это совокупность:
  • операторов по переводу денежных средств
  • банковских платежных агентов/субагентов
  • платежных агентов
  • организаций Почты России
  • операторов платежных систем
  • операторов услуг платежной инфраструктуры
Фактически, раньше деньги могли появляться из ниоткуда и исчезать в никуда. Это рождало довольно много ситуаций мошенничества, которые надо было разбирать вручную. Поэтому основная цель закона – это вывод из тени нелегальных денежных переводов.

Как это касается лично вас?

Теперь, чтобы проводить операции в новой схеме, нужно соответствовать разного рода требованиям. Причём чем больше вы хотите прав - тем более строгие применяются требования. Внедряются не просто технические средства, но и процессы, которые всё контролируют.
И тут, как вы догадываетесь, наступает драма - немало кто выполняет финансовые операции, которые требуют ряда мер защиты, без таковых . Речь как про IT (в большей степени), так и про бизнес-процессы в целом. Нужно быстро поставить программно-аппаратные комплексы, защитить данные и сделать кучу всего ещё. И тут нужен кто-то, кто может это сделать. Но про это чуть позже, сначала давайте разберёмся немного в сути вопроса.

Как регулируется?

Сейчас деятельность финансовых организаций в области ИБ регулируется следующими основными документами:

  • Серией стандартов 27 (как ИСО так и ГОСТ Р). Сейчас они рекомендательные, но по ПП822 может быть принято решение об обязательном соблюдении их требований.
  • Стандарты Центробанка России. Федеральным Законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» установлен рекомендательный статус стандартов и иных документов по стандартизации. Однако в соответствии с ним же при присоединении к стандарту по добровольному решению организации, они становятся обязательными.
  • Cтандарты международных платежных систем - PCI DSS. Теоретически возможны штрафы за несоблюдение (пока случаев в России нет), но зато бывают отказы в согласовании проектов. PCI DSS, фактически - конкретные технические требования.
  • Закон «О персональных данных», естественно обязательный для выполнения, санкции по закону предусмотрены, на текущий момент планируется увеличение санкций и расширение состава правонарушений по нарушениям в области обработки/защиты персональных данных со стороны РКН.
  • И последний – это 161 ФЗ «О национальной платежной системе», принятый 27 июня 2011 года, и группа подзаконных нормативных актов, принятых в соответствии с ним – это и Постановление правительства, и документы ЦБ. Является обязательным.

Правила игры примерно такие:

Насколько сырые документы?

Достаточно сырые. К примеру, есть требование об оповещении клиентов при переводе средств. Но ФЗ не говорит о способах оповещения. Банк может установить оповещение по телефону, но тогда непонятно, что делать, если телефон у абонента выключен.

Или вот более отдалённый пример, показывающий ряд особенностей таких оповещений. Один из банков просто сохранил платную услугу оповещения, второй начал оповещать бесплатно (но вот одноразовый пароль к данным – в платной части этой услуги), третий раздал клиентам терминалы для генерации паролей, но «переместил» их стоимость в другие услуги так, что её теперь сложно найти без подготовки. И, в целом, это только начало. Кто сталкивался, знает, сколько там неясных мест в плане технического и организационного регламента. Документы требуют очень детальной проработки, и это, как мне кажется, дело не одного месяца или даже года.

Что важно знать, если вы – потенциальный участник НПС

  • Участники НПС обязаны защищать информацию
  • Правительство РФ устанавливает требования к защите информации
  • Требования к защите информации и контроль их выполнения также устанавливает Банк России, пока по факту это единственный регулятор
  • Вводится система управления рисками для снижения вероятности перебоев в функционировании ПС.
  • Ключевая цель защиты информации в ПС – обеспечение бесперебойности функционирования ПС
  • В случае хищения денежных средств со счета клиента банк при определенных условиях обязан возместить полную сумму похищенных средств.

А теперь все будущие проблемы организаций одним списком

  • Появились новые требования к защите информации в НПС от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, распространения и др. На соблюдение конфиденциальности информации, на реализацию права на доступ к информации. Им нужно следовать.
  • Необходимо в принципе иметь службу ИБ.
  • Важно определить порядок доступа к объектам инфраструктуры ПС,
  • Нужно включить в обязанности работников выполнения требований ИБ,
  • Обязательно определить угрозы ИБ и уязвимости,
  • Нужно провести анализ рисков ИБ и начать ими управлять,
  • Нужно постоянно выявлять инциденты ИБ и реагировать на них, и соответственно ежемесячно отчитываться об этом перед ЦБ.
  • Необходимо обеспечить защиту информации при использовании интернета и пр.
  • Необходимо разработать и реализовать систему защиты информации в информационных системах.
  • Организовать и провести мероприятия по контролю и оценке соответствия не реже 1 раза в 2 года и опять же отчитаться об этом перед ЦБ.
И самое приятное - обязательное применение следующих (всех сразу) средств защиты:
  • СЗИ от НСД
  • Антивирус
  • Межсетевой экран
  • IDS/IPS
  • Средство анализа защищенности

Что делать, доктор?

Если говорить в целом – нужно пересматривать много чего в IT и вводить новые меры информационной безопасности. Но есть нюанс.

А если у меня всё уже есть?

Как правило, у большинства организаций, которых это касается напрямую и в наиболее хардкорной части (как правило – банков и других крупных финансовых организаций) всё это (или большая часть) уже давно реализовано. Потому что защищать информацию всё-таки надо. Но теперь нужно понять, насколько хорошо всё реализовано, и в каком объеме, то есть получить по результатам проверки соответствующую оценку. И вот здесь на сцене, как правило, появляемся мы.

Делаются следующие вещи:

  • Оценка соответствия требованиям к защите информации по 161-ФЗ
  • Разработка рекомендаций по приведению СОИБ в соответствие требованиям 161-ФЗ
  • Разработка и совершенствование существующей ОРД по обеспечению ИБ
  • Инвентаризация информационных активов, анализ и описание бизнес-процессов
  • Проведение оценки рисков ИБ
  • Техническое проектирование системы ИБ
  • Внедрение технических средств защиты информации
  • Анализ защищенности информационных систем и тестирование на проникновение
  • Повышение осведомленности по вопросам обеспечения ИБ
  • Выстраивание процессов управления инцидентами.
Говоря более простым языком, мы проверяем все требования закона и предлагаем наиболее простые пути решения поставленной задачи. Учитывая, что в этом комплексе работ всё довольно сложно и запутанно, часто находятся «лайфхаки», позволяющие избегать крайне дорогостоящих вариантов вроде внедрения принципиально новой системы ИБ с нуля. В качестве примера – тот же доступ к информации определённого характера. Вот, например, разграничение доступа. В одном из случаев самым простым оказалось сделать это на уровне организационных мер, а не IT-инфраструктуры – просто выдавать ключи от кабинета с нужными компьютерами только одному человеку. Соответственно, сразу отпало достаточно сложное требование по защите от несанкционированного доступа. Реально разграничивать доступ (на системном уровне с помощью, например, IDM), конечно, нужно, но это больше не является стоп-фактором для соответствия требованиям ФЗ об НПС уже сейчас.

Таким образом, оценивая актуальную угрозу информационной безопасности, мы строим модели угроз, в которых прописаны, какие угрозы актуальны и как мы их собираемся закрывать. Это могут быть как технические меры, так и организационные, важно при этом, чтобы соблюдался принцип экономической целесообразности выбора той или иной защитной меры.

Наша цель при проведении таких