Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Безопасность электронных платежей как объект правового регулирования

Безопасность электронных платежей как объект правового регулирования

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Безопасность электронных платежей как объект правового регулирования

По статистике каждый пятнадцатый житель России оплачивает различные товары и услуги с помощью электронных платежей. Электронные платежи стали неотъемлемой частью современной жизни. Очевидно, что это наиболее перспективный вид расчетов с точки зрения новых возможностей для бизнеса, а также удобства и простоты для пользователя.
Екатерина Пухарева
Ведущий специалист по информационной безопасности Группы QIWI

Все многообразие систем электронных платежей можно разделить на:

  • системы онлайн-банкинга (дистанционное банковское обслуживание);
  • системы моментальных платежей (платежи в режиме реального времени);
  • электронные платежные системы.

Основное отличие электронных платежных систем от моментальных платежей в том, что в первом случае в качестве расчетной единицы выступает электронная валюта, и операторы конвертируют ее в реальные деньги по определенному курсу (например, Яндекс.Деньги, WebMoney).

Первая в России система электронных платежей появилась еще в 90-е гг., однако правовое регулирование электронных платежей наступило относительно недавно. На сегодняшний день единственным законодательным актом РФ, напрямую регулирующим вопросы использования электронных платежей, является Федеральный закон 2011 г. № ФЗ-161 "О национальной платежной системе". Он ввел само понятие "национальная платежная система" (НПС), зафиксировал обязательные требования к организации и функционированию платежных систем, обратил внимание на правовое обеспечение общих условий для применения электронных денежных средств (ЭДС), а также установил обязательные требования по обеспечению защиты информации в НПС. Законом установлены правила проведения операций с ЭДС без открытия банковского счета (см. таблицу), в том числе:

  • перевод ЭДС осуществляется с проведением идентификации (комплекс мероприятий по установлению личности) клиента – физического лица или без нее;
  • перевод ЭДС юридическим лицом или индивидуальным предпринимателем осуществляется только с проведением идентификации;
  • расчеты ЭДС между юридическими лицами и индивидуальными предпринимателями запрещены.


Упрошенная идентификация от полной отличается тем, что ее можно будет пройти не только путем личного предъявления документов, но и дистанционно, путем передачи оператору данных паспорта, номера мобильного телефона и одного из документов: ОМС, СНИЛС или ИНН.

С точки зрения безопасности электронных платежей стоит обратить внимание на следующие статьи ФЗ-161:

  • ст. 9 "Порядок использования электронных средств платежа";
  • ст. 20 "Правила платежной системы";
  • ст. 26 "Обеспечение банковской тайны в платежной системе";
  • ст. 27 "Обеспечение защиты информации в платежной системе";
  • ст. 28 "Система управления рисками в платежной системе".
Развитие электронных платежей во многом зависит от двух параметров: доверия пользователей и удобства использования платежей. Доверие завоевывается адекватным уровнем безопасности, а удобство – наличием различных инструментов для возможности беспрепятственной оплаты, легкости подключения и отсутствием бессмысленных бюрократических барьеров.

В ст. 9 закон определил порядок возмещения клиенту денежных средств по операциям, которые были совершены без его согласия. В данной редакции операторы имеют немало возможностей для отказа в возмещении денежных средств клиенту. Одной из возможностей отказа является случай, когда клиент нарушает правила использования системы электронных платежей, прописанные в договоре. Оператор может сослаться на нарушения данных условий и не производить возмещение. Зачастую данные требования необоснованно завышены.

В ст. 27 закон уполномочил правительство и Банк России устанавливать требования по информационной безопасности в НПС.

Требования по защите информации в зависимости от роли субъекта определены в положении ЦБ РФ № 382-П. В текущей версии положения рассматриваются такие аспекты безопасности, как:

  • защита терминальных устройств;
  • оснащение не предоплаченных карт чипом;
  • подтверждение права формирования распоряжений на перевод денежных средств, а также требования к информированию о таких распоряжениях;
  • безопасность при разработке (выбор) программного обеспечения, используемого клиентами для осуществления переводов денежных средств (в том числе мобильных приложений).

Контроль за соблюдением требований по безопасности осуществляет ЦБ РФ в порядке, согласованном с ФСТЭК и ФСБ.

На текущий момент в системах электронных платежей очень активно используется электронная подпись, поэтому стоит также упомянуть закон № ФЗ-63 "Об электронной подписи", который определяет возможность, правила и использование подписи для идентификации физического или юридического лица. В качестве электронной подписи могут выступать коды, пароли или иные средства, позволяющие подтвердить факт проведения платежа определенным лицом (например, логин+пароль, одноразовый код SMS-подтверждения и т.д.).

Мошенничество в сфере электронных платежей

Являются ли предъявляемые к операторам требования по информационной безопасности достаточными для борьбы с интернет-мошенничеством? Мошенничество в сфере электронных платежей является большой угрозой для их развития. Пользователи вполне обоснованно обеспокоены увеличивающимся количеством фрода в данной сфере. Высокую эффективность в реализации мошеннических действий демонстрируют методы социальной инженерии. Самым уязвимым звеном остаются пользователи, и мошенники с успехом пользуются этим. Ситуация обостряется тем, что электронные платежи используют люди, зачастую имеющие небольшой опыт работы с компьютером. Безусловно, ЦБ РФ обязует организации внедрять новые способы защиты от мошенничества, такие как использование защищенных протоколов передачи данных, аппаратные средства верификации платежей, одноразовые пароли (OTP), SMS-подтверждения платежей и т.д. Однако на данный момент практически нет эффективных технических средств защиты против методов социальной инженерии.


Возможный путь решения проблемы – повышение грамотности российских граждан в вопросах безопасности. Инициатива обучения должна осуществляться со стороны оператора платежной системы, правительства и ЦБ РФ, а со стороны пользователя должно быть осознание рисков и желание обучаться. В таком случае решение будет эффективным, и, как следствие, уменьшится общий уровень мошенничества.

Развитие электронных платежей во многом зависит от двух параметров: доверия пользователей и удобства использования платежей. Доверие завоевывается адекватным уровнем безопасности – пользователь должен быть уверен в том, что никто не украдет честно заработанное, что срочная оплата дойдет точно в срок и без ошибок, а если и произойдет инцидент – пользователю возместят ущерб. Второй параметр успешного развития электронных платежей – удобство. Платежи должны быть не только безопасными, но и удобными, иметь различные инструменты для возможности беспрепятственной оплаты, легкость подключения, отсутствие бессмысленных бюрократических барьеров. Как мы можем заметить, государство с каждым годом делает шаги, направленные на необходимое правовое регулирование и защиту интересов участников, что также служит стимулом для развития финансовых услуг в области электронных платежей.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2015

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"