Президент сегодня заявил , что Россия создаст свою национальную платежную систему, взяв пример с Китая (China UnionPay) и Японии (JCB), которые создав сначала чисто локальные платежные сервисы, затем расширили их до уровня международных. Собственно в данной заметке я хотел посмотреть на опыт JCB и CUP в контексте информационной безопасноти.
С JCB никаких особенностей нет - на эту платежную систему распространяются требования PCI DSS. Более того, несмотря на не очень большой размер доли рынка, представитель JCB входит в исполнительный комитет PCI SSC наряду с представителями других 4-х международных платежных систем - Visa, MasterCard, American Express и Discover.
А вот с China UnionPay ситуация немного иная. На эту платежную систему требования PCI DSS не распространяются. Представителей CUP нет в исполнительном комитете PCI SSC, хотя как рядовой член PCI SSC они на сайте упомянуты . Будучи сугубо локальным китайским продуктом CUP развивалась по своему и с точки зрения информационной безопасности. Все, что мне удалось найти по данной теме - это 4-й раздел руководства по электронным платежам и его 23-я статья, которая отделывается общими словами о необходимости наличия стандартов по ИБ. 24-я статья говорит об управлении рисками, 25-я - об установке лимитов на перевод денежных средств. 26-я статья устанавливает требования неотказуемости транзакций, 27-я защищает банковскую тайну. В последующих 10-ти статьях руководства говорится об авторизации персонала, разделении ответственности, возможности аутсорсинга. Глубокой детализации, схожей с PCI DSS, 382-П или СТО БО ИББС нет и в помине. С 2013-го года в UnionPay внедряется стандарт EMV для чиповых карт. Вот и вся их безопасность .
К чему такой экскурс? Просто рассчитывая на лучшее, всегда надо готовиться к худшему, и банки, являющиеся участниками платежных систем Visa и MasterCard должны быть готовы к тому, что против упомянутых систем могут быть введены санкции. И хотя главы ЦБ и Минфина высказали мысль, что отказываться от Visa и MC не надо, нет никакой гарантии, что наши власти не начнут работать на опережение и не начнут "читать мысли" Президента, ставя палки в колеса компаниям, которые решили пойти супротив России. Понятно, что и Visa, и MasterCard исполняли волю американского государства и по своей инициативе врядли отказались бы от такого лакомого куска, как Россия (хотя доля карточных платежей этих МПС в общем объеме пока ничтожно мала). Но самим США санкции сложно организовать, а вот их "проводникам" вполне - примеров наша история знает немало. Именно поэтому на прошлой неделе в Госдуму был внесен законопроект о запрете работы в России платежных систем, неимеющих у нас своего операционного центра. Пока никто из международных платежных систем его не имеет, а многие и не планируют даже. Если законопроект примут, то работа МПС в России будет блокирована, статус оператора платежной системы отозван и выданные у нас карточки превратятся в красивый пластик.
Возможно у нас возродится УЭК/ПРО100 - об этом говорят сейчас много. Возможно на переходный период у нас оставят все МПС. Возможно оставят только "дружественные" нам МПС (JCB/CUP). Возможно не оставят ничего. Возможно все скоро утихнет и чиновники по-прежнему будут ездить заграницу не с наличными, а с карточками Visa или MC. Возможно МПС построят в РФ свои операционные центры. Говорить пока рано, как и строить какие-то прогнозы. В любом случае риск этот уже ненулевой и стоит искать альтернативы. Поэтому и знание того, как защищаются не столь популярные в РФ (за исключением дальневосточных регионов) платежные системы будет не лишним.
С JCB никаких особенностей нет - на эту платежную систему распространяются требования PCI DSS. Более того, несмотря на не очень большой размер доли рынка, представитель JCB входит в исполнительный комитет PCI SSC наряду с представителями других 4-х международных платежных систем - Visa, MasterCard, American Express и Discover.
А вот с China UnionPay ситуация немного иная. На эту платежную систему требования PCI DSS не распространяются. Представителей CUP нет в исполнительном комитете PCI SSC, хотя как рядовой член PCI SSC они на сайте упомянуты . Будучи сугубо локальным китайским продуктом CUP развивалась по своему и с точки зрения информационной безопасности. Все, что мне удалось найти по данной теме - это 4-й раздел руководства по электронным платежам и его 23-я статья, которая отделывается общими словами о необходимости наличия стандартов по ИБ. 24-я статья говорит об управлении рисками, 25-я - об установке лимитов на перевод денежных средств. 26-я статья устанавливает требования неотказуемости транзакций, 27-я защищает банковскую тайну. В последующих 10-ти статьях руководства говорится об авторизации персонала, разделении ответственности, возможности аутсорсинга. Глубокой детализации, схожей с PCI DSS, 382-П или СТО БО ИББС нет и в помине. С 2013-го года в UnionPay внедряется стандарт EMV для чиповых карт. Вот и вся их безопасность .
К чему такой экскурс? Просто рассчитывая на лучшее, всегда надо готовиться к худшему, и банки, являющиеся участниками платежных систем Visa и MasterCard должны быть готовы к тому, что против упомянутых систем могут быть введены санкции. И хотя главы ЦБ и Минфина высказали мысль, что отказываться от Visa и MC не надо, нет никакой гарантии, что наши власти не начнут работать на опережение и не начнут "читать мысли" Президента, ставя палки в колеса компаниям, которые решили пойти супротив России. Понятно, что и Visa, и MasterCard исполняли волю американского государства и по своей инициативе врядли отказались бы от такого лакомого куска, как Россия (хотя доля карточных платежей этих МПС в общем объеме пока ничтожно мала). Но самим США санкции сложно организовать, а вот их "проводникам" вполне - примеров наша история знает немало. Именно поэтому на прошлой неделе в Госдуму был внесен законопроект о запрете работы в России платежных систем, неимеющих у нас своего операционного центра. Пока никто из международных платежных систем его не имеет, а многие и не планируют даже. Если законопроект примут, то работа МПС в России будет блокирована, статус оператора платежной системы отозван и выданные у нас карточки превратятся в красивый пластик.
Возможно у нас возродится УЭК/ПРО100 - об этом говорят сейчас много. Возможно на переходный период у нас оставят все МПС. Возможно оставят только "дружественные" нам МПС (JCB/CUP). Возможно не оставят ничего. Возможно все скоро утихнет и чиновники по-прежнему будут ездить заграницу не с наличными, а с карточками Visa или MC. Возможно МПС построят в РФ свои операционные центры. Говорить пока рано, как и строить какие-то прогнозы. В любом случае риск этот уже ненулевой и стоит искать альтернативы. Поэтому и знание того, как защищаются не столь популярные в РФ (за исключением дальневосточных регионов) платежные системы будет не лишним.