Стандарт пройдет пилот
Новый стандарт по безопасности финансовых операций дополняет ранее принятый стандарт Банка России "Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID" (введен в действие в октябре 2020 г.).
ЦБ вводит разработанный вместе с участниками рынка стандарт, который совершенствует механизм сохранности данных при проведении финансовых операций. Документ устанавливает требования к финансовым API, что усилит защиту конфиденциальной информации банков и личных платежных данных их клиентов. Поставщики приложений получат возможность применять некоторые механизмы для усиления надежности аутентификации клиента по альтернативным каналам.
В документе речь идет о том, что поставщики приложений могут использовать дополнительные возможности по повышению надежности аутентификации клиента по альтернативным каналам. То есть для разных способов мошенничества или ошибок создается еще один или несколько заслонов. Это, в первую очередь, защита для самих банковских организаций, а также для их клиентов.
Руководитель направления "Развитие открытых API" в Ассоциации ФинТех Кирилл Кузьмин рассказал корреспонденту ComNews, что стандарт позволяет реализовывать информационный обмен с использованием открытых API не только через веб-браузеры, но и мобильные приложения, терминалы, устройства торговых точек (например, вендинговые автоматы) и устройства IoT. "Стандарт может быть применен для реализации так называемой разъединенной аутентификации, позволяющей инициировать операцию с одного устройства или приложения и безопасно авторизовать согласие на операцию с другого устройства или приложения. Это особенно актуально для сервисов, когда клиент дает распоряжение на передачу информации из одной организации в другую, например, как в случае с мобильными помощниками, которые позволяют агрегировать информацию по счетам в разных банках и консолидировано вести бюджет. Другой пример практической реализации стандарта – сервис для совершения платежей голосом через умные колонки с подтверждением операции с мобильного телефона, что обеспечит безопасность операции. – комментирует Кирилл Кузьмин. - Стандарты по безопасности используются в совокупности с прикладными стандартами по открытым API, на сегодняшний день Банк России опубликовал четыре из них: общие принципы, информация о счетах, инициирование платежа, получение публичной информации о банках и его продуктах. Новый стандарт по безопасности будет пропилотирован в этом году совместно с прикладным стандартом "Инициирование перевода денежных средств со счета клиента". На площадке Ассоциации ФинТех продолжается совместная работа с регулятором и участниками рынка по созданию новых стандартов для развития открытых API в России".
Стандарты устанавливают единые правила взаимодействия участников рынка при внедрении технологии Открытых API. "Это позволит банкам и финтех-компаниям настроить бесшовный обмен данными о клиенте с его согласия и в конечном счете сформировать для него наиболее выгодные персональные предложения, - рассказывает Кирилл Кузьмин. - Внедрение банками, финтехами и другими компаниями единых стандартов открытых банковских интерфейсов откроет широкие возможности развития финансовых услуг, обеспечит синергию между финансовыми и технологическими сервисами для предоставления качественно новых продуктов клиентам, а также снизит издержки бизнеса при оказании онлайн-услуг. Основная необходимость стандарта - объединение разных каналов связи между участниками в один, более защищенный и модернизированный. Главная цель создания стандарта - безопасный обмен конфиденциальной информацией в финансовых сервисах. Ранее существовали и существуют различные каналы связи между участниками. На каждый из них требуются сертификаты для соединения, временные и финансовые ресурсы для технической поддержки".
Член Ассоциации юристов России Дмитрий Уваров отметил, что в настоящий момент стандартов много, но подобных еще не было, он детализирует конкретный процесс, а именно аутентификацию по отдельному каналу. "У нас имеется национальный стандарт ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций, защита информации финансовых организаций", который определяет уровни защиты информации и соответствующие им требования к содержанию базового состава мер защиты информации, которые применяются финансовыми организациями для реализации требований к обеспечению защиты информации, установленных нормативными актами Банка России, в том числе в нем сказано, что такое аутентификационные данные, факторы аутентификации, однофакторная аутентификация, многофакторная аутентификация, двухсторонняя аутентификация. Еще имеются стандарты ГОСТ 34.003 "Информационная технология", комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения, ГОСТ Р ИСО/МЭК 7498-1 Информационная технология, ГОСТ Р 50739 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования, ГОСТ Р 50922 Защита информации. Основные термины и определения, ГОСТ Р 56545 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей и др. С 2021 г. информационная безопасность финансовых организаций должна соответствовать требованиям ГОСТ Р 57580. Обязывают положения № 672-П, 683-П, 684-П и приказ Минкомсвязи № 321. Называется новый ГОСТ так: "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций". В названии обозначена главная задача ГОСТ Р 57580 — сделать денежные операции в банке или другой финансовой организации безопасными. Также ссылка на ГОСТ Р 57580 есть в приказе № 321, который предписывает учитывать требования стандарта при внедрении Единой биометрической системы в банках. Соответствовать требованиям ГОСТ Р 57580 (далее ГОСТ) непросто. В стандарте приведено более 400 требований - далеко не все из них понятны, некоторые просто очень сложно выполнить", - рассказал член Ассоциации юристов России.
"Цель данного стандарта это открытые API (application programming interfaces), или открытые программные интерфейсы, помогают взаимодействовать банкам друг с другом и поставщиками финтех-сервисов. По сути, это канал для безопасного обмена данными между банками и финтехами. – поясняет Дмитрий Уваров. - Открытые API позволят создавать инновационные финансовые сервисы. Для обеспечения безопасности использования открытых API в России Ассоциация ФинТех запустила сертификационный стенд, на котором банки и финтех-компании проходят проверки на соответствие стандартам Банка России. На информационном портале доступны сведения о рекомендательных стандартах и порядке подключения к сертификационному стенду. Разработка стенда и портала велась совместно с участниками рынка и Банком России на площадке Ассоциации ФинТех".
Дмитрий Уваров отметил, что стандарт является рекомендательным. "Он предназначен для сторонних поставщиков услуг, разработчиков программного обеспечения, других категорий пользователей. Первым сервисом, где будут использоваться открытые API, станет возможность обмена информацией по счетам юридических лиц между банками, не доработано в части аутентификации подтверждение личности через фото в момент выдачи пин-кода, так как передача в электронной версии все равно до конца не подтверждает личность клиента. Благодаря этому при оформлении кредита компаниям не нужно будет предоставлять в банк-кредитор бумажные выписки по счетам из других банков; достаточно дать согласие на передачу этих сведений в электронном виде банку-кредитору", - рассказал Дмитрий Уваров.
Руководитель юридической практики компании "Интерцессия" Кирилл Стус считает, что стандарт необходим везде, особенно в финансовой сфере, где вопрос защиты данных носит очень важный характер. "По мере усложнения систем, увеличения количества участников рынка, взаимодействий между ними растет и сложность защиты данных. Т. к. стандарт носит рекомендательный характер. Им могут руководствоваться сторонние поставщики услуг, которым для выполнения операций нужны сведения о банковском счете клиента, участники перевода денежных средств, а также разработчики информационного и программного обеспечения, информационных систем. Это означает, что при взаимодействии с банками сторонние организации будут проходить дополнительную идентификацию. То, что это требование рекомендательное, наверняка будет временным. Постепенно это станет обязательным условием при каких-либо операциях между финансовыми организациями и их контрагентами, что повысит безопасность транзакций", - полагает Кирилл Стус.