Регулятор планирует распространить требования не только на операторов переводов, но и на банковских платежных агентов и субагентов и операторов услуг информационного обмена, платежной инфраструктуры и электронных платформ. Исключением станут участники рынка, у которых есть заключение проверяющей организации о том, что процессы разработки ПО и приложений включают меры безопасности.
Проверку может провести организация, имеющая лицензию на ведение деятельности по технической защите конфиденциальной информации. Сертификацию сейчас проводит в том числе НПО «Эшелон», отметил заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» Руслан Пермяков.
Предложения регулятора могут быть связаны со стремлением взять под контроль все финансовые сервисы, и исключить компании, имеющие иностранные связи и западное ПО, предполагает генеральный директор платежного сервиса Vepay Георгий Никонов. Старший партнер O2 Consulting Татьяна Сафонова отметила, что принятие поправок к закону позволит регулятору получать больше оперативной информации о предоставляемых на рынке платежных услугах.
Сейчас банки испытывают трудности с переводом денежных средств, и к решению вопроса подключаются компании с недостатком релевантного опыта, говорит Татьяна Сафонова. Основные риски в работе платежных операторов связаны с мошенничеством, в том числе с участием работников банков, считает Руслан Пермяков.
Директор входящей в ГК Softline компании «Ваш платежный проводник» Александр Шпет считает, что требования к сертификации стоит конкретизировать — включить в них раздел со сценариями и процедурами, что позволило бы сертифицировать не только ПО, но и процессы. Также он предлагает добавить информацию о методологиях и процессах проведения сертификаций и определить объемы, при которых она необходима. Например, это может быть допустимый процент изменения исходного кода без обязательной сертификации и функции, которые затрагивает сертификация.
Изменения условий записи, хранения и использования персональных данных не самые критичные, поскольку у добросовестного сервиса по переводу платежей они и так уже есть, считает Георгий Никонов, но придется переформатировать структуру учета и работы с этими данными. А вот в случае с самим программным обеспечением, и особенно с частью про изменения исходного кода нужно уточнить, что именно будет являться фундаментальным изменением.
«Сама регистрация российского ПО — это уже давно понятный и принятый механизм. Сертификация по безопасности тоже ясна. А вот как будет устроено взаимодействие, контроль и фиксация изменений — это пока что большой вопрос», — пояснил Георгий Никонов.
Реализация инициатив ЦБ при их принятии потребует от платежных операторов не только выйти из тени, но и инвестировать в мероприятия по доработке ПО в целях снижения транзакционных рисков. Дополнительные затраты потребуются на изменение процесса разработки, на дообучение команды и закупку тестового ПО. Но важно понимать, что финансовые вложения в исправление возможных последствий работы существующей инфраструктуры могут в разы превышать затраты на обновление и прохождение сертификаций, считает Александр Шпет.
По мнению Григория Никонова, затраты платежных сервисов на внедрение нововведений отразятся на стоимости для пользователей сервиса. Удорожание пройдет либо в открытом виде, либо его добавят в какую-то подписку по модели абонентской платы, предполагает он. Точные суммы назвать затруднительно, но речь может идти об удорожании в пределах долей процента, максимум одного процента на транзакциях, уточнил Руслан Пермяков.
Больше новостей читайте в нашем телеграм-канале @expert_mag