В России собираются создать национальную пластиковую систему денежных расчетов. Пока, правда, на бумаге
Рабочая группа Минфина, в состав которой входят представители Банка России, разработала проект закона о национальной платежной системе в виде пластиковых карт. Об этом сообщила в Госдуме заместитель председателя ЦБ Татьяна Чугунова. По ее словам, эта система создается не на базе международных платежных систем, а «на собственной платформе». То есть на пластиковой карте уже не будут красоваться привычные бренды VISA или MasterCard, она будет отечественного происхождения и оператором национальной системы станет некоммерческое партнерство. Также сказано, что система станет открытой, через нее будут реализовываться различные социальные проекты.
Сейчас Центробанк готовит концепцию развития платежной системы до 2014 года и соответствующий законопроект, который, в частности, определит функции ЦБ как органа надзора за частными платежными системами. Сегодня в России работает свыше 20 платежных систем, и надо как минимум привести их к общему знаменателю.
Правда, россияне в этом отношении консервативны и по-прежнему предпочитают использовать в расчетах наличные деньги. Даже перед покупкой в супермаркетах, где можно платить пластиковой картой, они предпочитают снимать деньги в банкомате, а потом уже идти в кассу. Поэтому почти 90% расчетов в стране происходят «живыми» деньгами. Представители власти ссылаются на отсутствие необходимого уровня финансовой грамотности населения и законодательно закрепленных стимулов. Например, если бы купить товар по «пластику» было дешевле, то граждане вряд ли стали бы тратить на покупки лишние наличные из кармана.
Есть и оригинальные мнения на этот счет. Например, первый зампред Центробанка Алексей Улюкаев оптимистично считает, что нынешний уровень наличных расчетов связан прежде всего с доверием к рублю со стороны населения. Как ни странно, оно быстро восстановилось после зимнего обвала российской валюты. Кроме того, наличные зачастую используются в различных схемах ухода от уплаты налогов (хочется добавить – и для отмывания преступных денег тоже). Да что там говорить, если в России даже отложенные на покупку квартиры миллионы хранят не на депозитном счете, а в банковской ячейке!
Если криминальные потоки не перекрыть, то собственная платежная система в стране с высоким уровнем взяточничества и широко распространенной практикой ухода от налогов вряд ли приживется. Кто же захочет «засветиться» на верный срок?
Кредитки на переправе не меняют
Одной из главных идей законопроекта является создание в стране национальной системы платежных карт (НСПК). Система «Российская платежная карта» должна «обеспечить эффективность и безопасность платежных услуг». При этом согласно законопроекту карты НСПК должны приниматься в рамках всей функционирующей на территории страны операционной инфраструктуры, обеспечивающей расчеты с помощью электронных денег. То есть предполагается обязательный прием платежных карт НСПК на всей территории России, во всей ее инфраструктуре. Правда, о том, на каких условиях будет осуществляться этот прием и кто будет получать проценты за обслуживание счетов и транзакции, в документе ничего не сказано.
По мнению участников рынка, в законопроекте есть ряд пунктов, вызывающих вопросы. Например, он не дает ясного понятия трансграничной платежной системы. С одной стороны, документ разрешает операторам осуществлять переводы на территории России и за ее пределами, а с другой – обставляет это фактически запретительными условиями. Впрочем, если в результате денежный рынок страны получит современный, универсальный и экономически выгодный продукт, то он будет принят, считают банкиры. Но у них возникает ряд опасений в связи с вероятностью попыток регламентации технологических решений в рамках реформирования НПС, что неминуемо приведет к возникновению проблем совместимости имеющихся у банков платежных систем. Поэтому, прежде чем производить инвестиции в нового оператора рынка, имеющего статус государственного агента, необходимо реально оценить способности уже работающих участников к эффективному саморегулированию.
В общем, все зависит от нового оператора на денежном рынке страны. Будет ли он эффективным? И как быть с инвестициями банков в существующую операционную систему, терминальную и банкоматную инфраструктуры, а также в обеспечение безопасности международных платежных систем VISA, MasterCard и AmEx. Тут затраты измеряются сотнями миллионов долларов. Если все это пойдет прахом, то в бюджетах банков, которые и так имеют проблемы с ликвидностью, образуется еще одна «черная дыра».
Хотя в любом случае на создание новой инфраструктуры под национальную платежную систему придется выделить банкам средства из федерального бюджета. Кроме того, НПС не должна быть навязана банкам в качестве альтернативы существующим платежным системам. Важно сохранить все, что работает, иначе дело не пойдет, уверены участники рынка. Однако денег в дефицитном федеральном бюджете на этот проект пока нет. Так что вопросов в отношении создания НПС гораздо больше, чем ответов.
Есть и еще один важный момент. Формирование жизнеспособной национальной платежной системы возможно только в развитой конкурентной среде. А в российской банковской системе, где свыше половины активов принадлежит трем крупнейшим государственным банкам, ни о какой конкуренции говорить не приходится. К тому же кризис – не лучшее время, чтобы менять коней на переправе в отечественной банковской сфере, страдающей сегодня от роста плохих долгов. Даже такие монстры, как ВТБ, из-за резервирования под просроченные кредиты вынуждены в течение года работать вообще без прибыли. Так что все эти мечты о создании собственной «визы» для России, скорее всего, пока останутся мечтами. Поговорят, как это уже было в 2007 году. Может быть, на волне административного энтузиазма даже примут законопроект и на подготовительном этапе «освоят» какие-то деньги, но дальше все заглохнет…
Своя платежка ближе к телу
Однако развитая национальная платежная система необходима любому развитому государству – это факт. Она может стать основой устойчивого экономического роста и залогом поступательного развития всех сфер общественной жизни. Многие экономисты уверены, что именно национальная платежная система может обеспечить финансовыми услугами самые широкие слои населения. Сегодня в России существуют «родные» платежные системы, и самые крупные из них – «Сберкарт» и «Золотая Корона», но конкурировать с транснациональными операторами им просто не под силу. Да и не только нашим «карликам». Европейские банки год назад обсуждали идею создания конкурентной платежной системы для защиты от экспансии VISA и MasterCard. Возможно, страны ЕС нашли бы альтернативу, да кризис помешал.
В чем главные преимущества национальных платежных систем? Международные системы предназначены в основном для транснациональных расчетов, для обеспечения возможности снимать «суммы прописью» в любом банкомате по всему миру, получать доступ к привычным банковским сервисам за рубежом. Национальные же платежные системы предназначены для того, чтобы решать задачи, связанные с совершением расчетов и использованием финансовых услуг внутри страны. Кроме того, они способны внести вклад в повышение качества жизни населения с учетом его специфики и менталитета. Можно сказать, что международные системы работают с денежными потоками, а национальные – с конкретными клиентами. А это два принципиально разных подхода.
Но прежде всего НПС – это инструмент для решения государственных задач, для реализации государственной политики в области социально-экономического развития. Однако она не должна быть навязана насильно. Как считают участники рынка, любые административно-формальные меры не только не будут способствовать практическому осуществлению проекта, но еще больше осложнят ситуацию с развитием инновационных финансовых технологий, замедлят и без того не слишком впечатляющие темпы развития отечественного рынка банковских пластиковых карт. Поэтому оператор НПС должен осуществлять развитие своего бизнеса в условиях равной рыночной конкуренции. То есть в принципе он не может быть государственным. А вообще-то, по мнению банкиров, на национальном денежном рынке необходимы как минимум два-три ведущих оператора – по аналогии с национальными операторами рынка мобильной связи. И ими должны стать уже действующие платежные системы.
Субъекты НПС – органы федерального и местного управления, предприятия регионов, а также организации и компании, задействованные в цепочке обеспечения льгот населению, также должны проявлять активность в процессе создания платежной системы. А задача органов государственного управления – создать институциональные, в том числе правовые и социально-экономические рамки для формирования платежной системы, чтобы не допустить монополизации этого рынка. Надо помнить, что сегодня именно диктат монополий вносит наибольший вклад в инфляционные процессы.
Развитие НПС должно базироваться на развитии коммерческой инициативы, привлечении частных инвестиций, а также применении форм государственно-частного партнерства там, где невозможно обойтись без бюджетных денег. Такими сегментами рынка могут стать: предоставление льгот населению, построение инфраструктуры обслуживания в отдаленных регионах и закрытых городах, а также создание единых сетей для социальных групп, получающих льготы. Вот тогда НПС станет действительно национальной – в полном смысле этого слова, а не на словах и не на бумаге.
Ударим «пластиком» по бездорожью
Создание национальной платежной системы позволит значительно повысить проникновение финансовых услуг в широкие слои населения, сделать доступ к продуктам и услугам более удобным, а также создать эффективные механизмы решения социально-экономических задач на базе государственно-частного партнерства. Так считают практически все эксперты.
Кроме того, по их словам, рынок «пластика» в России имеет огромный потенциал роста. По данным Центробанка, на душу населения у нас в стране пока приходится меньше одной пластиковой карты. Причем даже этот скромный результат достигнут благодаря масштабному переводу расчетов работодателей с работниками в электронную сферу. Поэтому большинство пластиковых карт в России являются зарплатными. Что, впрочем, вполне закономерно. Первый этап развития пластиковых карт всегда содержит минимальный набор услуг. Простой в обращении «пластик» массово распространяется, подготавливая плацдарм для дальнейшего развития безналичных расчетов.
Между тем в России наступил следующий этап: выпуск специализированных финансовых инструментов, удовлетворяющих определенный круг потребностей граждан. Это кредитные карты, транспортные карты, «карты лояльности» для оплаты товаров и услуг со скидкой. Кроме того, разрабатываются и внедряются продукты, ориентированные на конкретные целевые аудитории: социальные карты, карты пенсионера, школьника и многие другие. В этот период появляются новые, более продвинутые карточные продукты, увеличивается доля безналичных платежей и, самое главное, повышается уровень финансовой культуры у конечных потребителей.
Причем от развития безналичных расчетов выигрывают и держатели карт, и сами банки. Ведь для любого банка стоимость карточных услуг сегодня очень мала по сравнению с затратами на привлечение, удержание клиента и предоставление ему полного пакета финансовых услуг. А владелец карты может с ее помощью получать сразу множество сопутствующих сервисов: например, совершать денежные переводы, погашать кредиты, оплачивать коммунальные услуги, подключать SMS, интернет-банк и т. д.
Бесспорно, национальная платежная система необходима России. Она поможет стабилизировать внутренний финансовый рынок, который создаст прочную основу для развития всех отраслей экономики. И выведет «из тени» всех, кто не чист на руку. Кроме того, национальная платежная система обеспечит эффективную интеграцию в мировые процессы в условиях открытой рыночной экономики, основанной на высокой конкурентоспособности внутреннего рынка. Вот только жаль, что ее созданием российские финансовые власти решили заняться так поздно и в самое неподходящее для этого время.
НЕ ХРАНИ ТО, ЧТО НЕ НУЖНО
Таков главный вывод конференции «Обеспечивая безопасность данных платежных карт в России»
Агунда АЛБОРОВА
Начиная с 2006 года все компании, которые используют в своем бизнесе платежные карты, должны соблюдать требования международного стандарта PCI DSS и ежегодно проводить оценку уровня безопасности своей инфраструктуры. Почему деятельность российских компаний и банков пока не совсем соответствует жестким требованиям стандарта, как получить сертификацию PCI DSS и не попасть под штрафные санкции – эти и многие другие вопросы обсуждались лучшими специалистами в области информационной безопасности на конференции, организованной бизнес-группой PCI, входящей в состав компании AKJ Associates Ltd.
Размеры штрафов за несоответствие международному стандарту PCI DSS (Payment Card Industry Data Security Standard) для российского рынка пока точно не определены, но предполагается, что их порядок будет такой же, как в Европе, – от 25 до 750 тыс. евро. Эти цифры прозвучали во время доклада Никиты Ремизова, консультанта по информационной безопасности IBM ISS. Он также отметил, что сейчас отношение к стандарту неоднозначное и существует целый ряд мифов или предубеждений, которые мешают компаниям всерьез отнестись к мерам по его внедрению. В частности, многие считают, что соответствовать требованиям стандарта очень сложно и потому никто этим не занимается.
«Это не так, – сказал Никита Ремизов. – Многие уже ведут подготовительные работы, и это очень важно». И добавил: «Не-правильно считать, что соответствие стандарту PCI DSS позволит полностью защититься от всех видов угроз. Надо понимать, что стандарт не панацея». Кроме того, не существует каких-то «коробочных» решений, установка которых позволит автоматически приобрести нужное соответствие. Работа должна вестись комплексная и по всем направлениям, включая обязательный аудит.
Он также подчеркнул свое согласие с мнением главного менеджера компании VISA Мартином Ван ден Белтом, который считает, что компании небрежно долго хранят много запрещенной или ненужной информации и именно поэтому часто теряют важные данные. «Не храни то, что тебе не нужно» – принцип, который VISA активно пропагандирует сейчас среди своих партнеров.
Подводя итоги по внедрению стандарта PCI DSS в США, г-н Ван ден Белт сообщил, что деятельность 62% торгово-сервисных средних предприятий (от 1 до 6 млн. операций) уже соответствует его нормам. Тем не менее, как отметил выступающий, мошенничество с пластиковыми картами по-прежнему остается главной угрозой для всех участников рынка: в 2007 году убытки от подобного рода преступлений составили $5,6 млрд., а за прошедший год эта цифра увеличилась в три раза. И несмотря на то, что есть компании, которые тратят на информационную безопасность порядка $20 млн., 30% из 100 компаний все еще остаются незащищенными от угроз. 42% жалоб, рассматриваемых VISA, связано со взломами карточной информации. В среднем в результате подобных взломов компании теряют около 20% своей клиентской базы. Именно поэтому сейчас, как никогда, важно соблюдение PCI DSS, подчеркнул докладчик. Он основан на фундаментальных практиках безопасности данных и создан в конечном счете для защиты держателей пластиковых карт.
Конференцию посетило более 100 участников – представителей IT-департаментов банков и многих известных российских компаний. На пленарных сессиях был затронут весь комплекс проблем индустрии платежей: стратегии безопасности, требования к защите данных, предотвращение утечки данных, авторизация платежей в режиме реального времени, PCI-тестирование и эксплуатационные трудности. Особый интерес вызвали прошедшие в рамках конференции семинары, на которых были представлены доклады и образцы лучших практик от лидеров рынка.
Этапы большого пути
В 2004 году международные платежные системы VISA, MasterCard Worldwide, American Express, Discover Financial Services и JCB объединили свои усилия в области безопасности данных и создали единый для индустрии платежных карт стандарт защиты информации Payment Card Industry Data Security Standard. Изначально он внедрялся как обязательный на территории США и Западной Европы. Для других регионов требования PCI DSS носили лишь рекомендательный характер. Но с сентября 2006 года PСI DSS был введен как обязательный на территории стран CEMEA, в том числе и в России. Его новая версия (PCI Data Security Standard v. 1.2) вступила в силу с 1 октября 2008 года.
PСI DSS создан ради повышения защищенности электронных торговых и платежных систем, в нем содержится ряд мер и средств по обеспечению общей информационной безопасности компании. Требования стандарта касаются и обеспечения безопасной среды для хранения данных держателей карт. Защита требуется не только от внешних злоумышленников, но также и от инсайдеров. Действие PCI DSS распространяется на всех, кто передает, обрабатывает и хранит конфиденциальные данные держателей карт. Для региона CEMEA разработаны и определены требования для компаний так называемого первого уровня: это компании, напрямую работающие с международными платежными системами, банки («принципиальные» члены платежной системы), процессоры и платежные шлюзы, работающие напрямую с VISANet. Эти организации до конца года должны проходить процедуру аудита на соответствие требованиям стандарта и предоставлять результаты тем платежным системам, с которыми они работают. Каждая компания (или банк) уведомляется международной платежной системой о сроках прохождения аудита. Если компания в них не укладывается и не соответствует требованиям стандарта, на нее могут быть наложены штрафные санкции.
В сентябре 2006 года VISA стала одним из основателей Совета PCI – независимого совещательного органа, созданного для координации работы по развитию стандарта PCI DSS. По оценкам VISA, российские банки хорошо осведомлены о требованиях PCI DSS и готовы предпринять все необходимые шаги для обеспечения соответствия стандарту. Для проведения аудита и приведения систем в соответствие требованиям PCI DSS должна привлекаться специализированная компания, обладающая статусами Qualified Security Assessor (QSA, для аудита) и Approved Scanning Vendor (ASV, для сканирования сети). В России на сегодня этими статусами уже обладают несколько компаний.
Кстати
В России к 1 января 2010 года все организации, обрабатывающие персональные данные, должны привести свои информационные системы в соответствие требованиям Закона о защите персональных данных (ЗПД). По мнению экспертов, сейчас очень немногие организации на 100% отвечают нормативным требованиям, мало кто имеет все необходимые аттестаты на системы обработки персональных данных. Но работа уже начата, так как за несоответствие обещаны штрафные санкции. Как считают аналитики, на начальном этапе будут выноситься предупреждения, накладываться штрафы, а жесткие санкции (такие как отзыв лицензии, например) будут применены только к злостным нарушителям. Считается, что условия стандарта PCI DSS во многом гораздо жестче, чем требования этого закона. Автор: Олег ГЛАДУНОВ