Европейская директива PSD2: взгляд из России

Европейская директива PSD2: взгляд из России

Как изменит лицо европейского платежного рынка новый документ Европейской службы банковского надзора в части обеспечения безопасности интернет-платежей?

Первая Директива платежных сервисов (Payment Services Directive, PSD), принятая Европейским союзом 25 декабря 2007 года, установила общие правила прозрачности условий и требований к информации, касающейся платежных услуг и соответствующих прав и обязательств их пользователей и провайдеров. Она была направлена на увеличение скорости, улучшение эффективности и простоту использования европейских платежных сервисов.

Однако ситуация на рынке постоянно меняется, информационные технологии идут вперед семимильными шагами, предоставляя новые способы оплаты, растут и видоизменяются угрозы информационной безопасности, ставя под вопрос сохранность денежных средств на счетах клиентов. Поэтому контролирующие органы Евросоюза пересмотрели документ, и 25 ноября 2015 года была опубликована новая версия документа – PSD2. Поскольку предполагается, что законодательства европейских государств должны быть гармонизированы с PSD2 и учитывать ее требования, изменения должны вступить в силу с сентября 2018 года.

В ходе разработки PSD2 было предложено два варианта последующего внедрения требований Директивы в законодательства стран ЕС – однофазный и двухфазный. Под однофазным подразумевалось, что требования станут обязательными к выполнению сразу же после публикации новой версии Директивы. Двухфазный вариант предполагал пошаговое внедрение положений PSD2 в два этапа: вначале осуществляется выпуск дополнительного Руководства Final Guidelines On The Security Of Internet Payment, которое становится обязательным к исполнению и действует до момента вступления в силу PSD2. На втором этапе, в сентябре 2018 года, вступают в силу требования PSD2. Европейская служба банковского надзора (European Banking Authority, EBA) выбрала второй вариант.


По мнению экспертов, постепенное внедрение Директивы PSD2 повысит безопасность интернетплатежей


В декабре 2014 года было принято и с 1 августа 2015 года начало действовать Руководство Final Guidelines On The Security Of Internet Payment , которое периодически актуализируется в зависимости от ситуации в индустрии Европейских платежных сервисов. Последние изменения были внесены в мае 2016 года. Документ содержит три главные темы:

• Общие мероприятия, направленные на безопасность среды платежей;
• Специальные мероприятия, направленные на безопасность интернет-платежей;
• Повышение осведомленности клиентов, обучение и взаимосвязь.

Следует отметить, что в разработке PSD2, как и руководства Final Guidelines On The Security Of Internet Payment, принимал участие PCI SSC. Об этом было впервые объявлено на конференции PCI Community Meeting 2015, которая проходила в Ницце в ноябре 2015 года. В ходе выступления представители EBA и PCI SSC рассказали о сотрудничестве, обмене опытом и возможностях гармонизации требований по безопасности, в т. ч. с PCI DSS.

Напомним, что Европейская служба банковского надзора была образована в 2011 году на фоне необходимости иметь единого общеевропейского регулятора финансовой системы. Ранее в Европе существовало много различных организаций, которые регулировали это направление, и их требования к различным сегментам финансового рынка существенно отличались. Поэтому основной целью создания EBA явилась разработка, принятие и контроль соблюдения единых правил для финансовых институтов Европы.

Основной целью создания EBA является разработка, принятие и контроль соблюдения единых правил для финансовых институтов Европы

В первую очередь EBA озаботилось созданием общих требований к безопасности платежей. Как показывает практика, следование такого рода единым стандартам повышает уровень защищенности всех участников рынка. Тем более что существует серьезная разница в мотивации, когда тот или иной стандарт внедряется бизнес-структурой из-за сугубо маркетинговых соображений или когда этого требует регулятор. Требования EBA обязательны для всех. И если раньше небольшие финансовые компании зачастую всерьез не задумывались о своей безопасности, не желая инвестировать в нее значительные средства, теперь они вынуждены заниматься этой сферой. При этом над ними будет установлен жесткий контроль, в том числе ежегодные аудиты на соответствие PSD2. Несомненно, что постепенное внедрение PSD2 повысит безопасность интернет-платежей.

Как изменит лицо европейского платежного рынка новый документ Европейской службы банковского надзора в части обеспечения безопасности интернет-платежей, требования которого вступят в силу уже в 2018 году? Насколько они актуальны для участников российской платежной индустрии? Поделиться с читателями «ПЛАСа» своим мнением мы предложили Петру Шаповалову, инженеру по защите информации, PCI QSA, ООО «Дейтерий», Андрею Гайко, зам. директора Департамента сертификационного аудита, PCI QSA,Digital Security, Евгению Бабицкому, зам. генерального директора Compliance Control, Алексею Голенищеву, директору дирекции мониторинга электронного бизнеса Альфа-Банка, и Анне Гольдштейн, директору по развитию бизнеса, «Информзащита».

ПЛАС:Насколько последняя версия документа по обеспечению безопасности в сфере интернет-платежей, выпущенная Европейской службой банковского надзора, актуальна в технологическом плане на фоне продолжающегося роста онлайн-фрода в Европе?

П. Шаповалов: Три главные темы PSD2 охватывают важные для информационной безопасности аспекты, например, такие как анализ и управление рисками, управление инцидентами, правила аутентификации и авторизации, протоколирование событий и их анализ, защита критичных данных, повышение осведомленности и т. д.

В некотором роде этот документ по концепции требований похож на PCI DSS. Я уверен, что те организации, которые соответствуют PCI DSS, с легкостью смогут выполнить все требования Guidelines.

К сожалению, соответствие документу от EBA сегодня не является обязательным для участников рынка. Регулятор собирает периодически отчеты о соответствии или несоответствии. На текущий момент 26 стран заявили о соответствии и намерении соответствовать данным требованиям EBA. На мой взгляд, для Европейского союза это хороший показатель.

А. Гайко: Что касается требований Final Guidelines On The Security Of Internet Payment, то они вполне адекватны и, что особенно важно, актуальны и современны. В большинстве своем они описывают «лучшие практики» для платежных сервис-провайдеров на сегодняшний день. Например, сейчас у большинства платежных операторов внедрены системы антифрода. Данный документ делает это обязательным.

Также в требованиях руководства можно проследить пересечения с требованиями PCI DSS. Опыт использования PCI DSS уже показал свою эффективность в реальном обеспечении безопасности карточных платежей. Однако PCI DSS применяется для защиты только карточных платежей, тогда как документ Final Guidelines On The Security Of Internet Payment, кроме безопасности платежей по картам, ориентирован на защиту платежей электронными деньгами, а также платежными поручениями (e-mandate, кредитовые трансферты) через интернет.

У крупных игроков новые требования не вызовут проблем, так как они уже давно внедрили у себя все необходимые решения

Е. Бабицкий: В ближайшие годы мы будем наблюдать рост онлайнфрода. Это связанно с тем, что в этот сегмент мигрирует много мошенников, которые ранее специализировались на фроде по картам с магнитной полосой. Об этом заявляют многие консорциумы, специализирующиеся на информационной безопасности. В связи с этим весьма похвально, что специалисты Европейского союза решили обратить внимание на эту опасную тенденцию и актуализировали документ почти десятилетней давности. Подобные сдвиги, безусловно, положительно влияют на платежную отрасль, но нужно оценивать их не только с точки зрения информационной безопасности, но и с точки зрения бизнеса, а в этой части PSD2 у меня пока вызывает некоторые вопросы.

А. Гольдштейн: После перехода на EMV-технологии наиболее актуальной проблема фрод а, как минимум в контексте карточных платежей, остается для CNP-тран закций (card not present). Также важно отметить тот факт, что интернет-кошельки, например, – не только возможный способ доступа мошенников к денежным средствам легитимных клиентов, но и довольно часто способ вывода денег, полученных путем мошенничества. Поэтому, на мой взгляд, предполагаемые Директивой меры, в частности, использование двухфакторной аутентификации, действительно способны заметно повлиять на снижение рисков мошенничества.

ПЛАС:Насколько принятие требований PSD2 национальными регуляторами стран ЕС усложнит бизнес различных провайдеров «кошельковых» решений и иных PSP? В свою очередь, в чем этом шаг может препятствовать развитию розничного банковского бизнеса банками?

П. Шаповалов: Думаю, что европейский регулятор будет держать руку на пульсе. И, например, если придет время, когда те же одноразовые пароли придут в негодность, а, допустим, биометрия станет приоритетной, выйдет очередной релиз, и требования снова станут актуальными.

А. Гайко: Конечно, введение любых дополнительных требований к обеспечению безопасности всегда влекло за собой дополнительные затраты (как финансовые, так и временные и интеллектуальные) на их реализацию. И с этой точки зрения ситуация с PSD2 не станет исключением. Особенно трудно придется компаниям, которые ранее не попадали под требования финансовых регуляторов. У крупных игроков новые требования не вызовут проблем, так как они уже давно внедрили у себя все необходимые решения, обеспечив соответствие тому же PCI DSS и иным глобальным и локальным стандартам безопасности.

Е. Бабицкий: Расходы на реализацию любых изменений, которые потребуют дополнительного контроля и изменения ИТ-инфраструктуры, наверняка будут заложены в те или иные затратные статьи подобных сервисов. Если расходы будут существенные, то мы с высокой долей вероятности увидим изменение комиссий за обслуживание платежей для розничных клиентов после 2018 года. Пока же блицопрос знакомых мне европейских компаний показал, что на ближайшие два года никаких расходов по данной статье у них не запланировано.

А. Гольдштейн: По опыту нашей страны могу сказать, что, к сожалению, любое затруднение процедуры реализации платежа существенно влияет на популярность использования данного метода. В среднем при внедрении второго фактора аутентификации, в частности OTP, можно ожидать падения количества платежей – максимум на 10–20%.


Ни PSD2, ни Final Guidelines On The Security Of Internet Payment не содержат прямых требований обязательного внедрения ОТР


ПЛАС:Насколько упомянутые в новом документе требования (наподобие повсеместного обязательного внедрения OTP) вообще актуальны в наше время, когда прогресс в области технологий идентификации заметно убыстряется? Не будет ли использование one-time passwords анахронизмом в 2018 году, когда, предположительно, документ вступит в силу по всей Европе?

А. Гайко: Строго говоря, ни PSD2, ни Final Guidelines On The Security Of Internet Payment не содержат прямых требований повсеместного обязательного внедрения ОТР. В этих документах присутствует описание правил строгой аутентификации клиентов. Под ним понимается двух- и более факторная аутентификация. При этом ОТР рассматривается лишь как один из вариантов реализации такой двухфакторной аутентификации. Иными словами, никто не запрещает использовать иные средства многофакторной аутентификации. Кстати, в разделе о строгой аутентификации клиента приводятся требования, в которых можно разглядеть необходимость применения 3D-Secure для CNP-платежей по картам.

Е. Бабицкий: Как известно, основу любого метода многофакторной аутентификации составляют три основных фактора – «что я знаю», «чем я владею», «кем я являюсь», плюс сегодня к ним можно прибавить фактор местоположения клиента. Далее мы используем комбинацию этих факторов. При этом не стоит забывать, что бизнес будет бороться за максимальное удобство для клиента, порой даже в ущерб безопасности. Любое усложнение аутентификации клиента при платеже может привести к уменьшению доходности платежных сервисов. И компенсируется ли это снижением потерь от фрода для данного конкретного сервиса – большой вопрос.

Что касается OTP, то данный механизм как таковой, на мой взгляд, точно не будет выглядеть анахронизмом в 2018 году, а вот, например, использование SMS-канала для доставки OTP вполне может стать историей к этому моменту.

ПЛАС:В какой степени новое руководство Европейской службы банковского надзора согласуется с рекомендациями негосударственных альянсов типа FIDO и пр.?

А. Гайко: Как я уже отмечал, документ Final Guidelines On The Security Of Internet Payment появился в декабре 2014 года. В настоящее время EBA намеревается выпустить технические стандарты, которые более подробно раскроют суть требований PSD2. В частности, планируется разработка технического стандарта по строгой аутентификации клиентов и безопасным коммуникациям. Предварительно EBA разработала документ, в котором задаются вопросы по возможным схемам реализации строгой аутентификации. FIDO, в свою очередь, в феврале 2016 года выпустило документ, в котором даются комментарии на поднятые EBA вопросы, а также описывается применение решений FIDO для реализации требований PSD2 (в т. ч. требований Final Guidelines On The Security Of Internet Payment).

Стоит подчеркнуть, что требования документов EBA написаны достаточно обтекаемо, без привязки к конкретным техническим решениям. В любом случае Final Guidelines On The Security Of Internet Payment не противоречит действующим рекомендациям FIDO.

Российские банки во многом опережают своих европейских коллег, зачастую до сих пор применяющих для CNP-транзакций в рамках 3D-Secure одноразовые статические пароли

Е. Бабицкий: Мне кажется, что перед EBA такой задачи не стояло, хотя они и провели множество консультаций. Я надеюсь, что главной целью этого документа станет своевременное реагирование на новые угрозы и вызовы. Обновлять стандарт безопасности раз в десять лет для динамичной области онлайн-платежей – не лучшее решение. Тут можно привести в пример PCI SSC, которые реагируют существенно быстрее и имеют трехлетний цикл обновления стандарта.

При этом EBA, безусловно, стоит прислушиваться к различным негосударственным альянсам, которые работают в той же сфере.

ПЛАС:Может ли проведение в жизнь требований нового руководства Европейской службы банковского надзора отразиться на российском платежном интернет-бизнесе, и если да, то как именно?

А. Голенищев: Учитывая, что в странах Евросоюза объемы мошенничества по интернеттранзакциям достигли значительного масштаба и существенно опережают аналогичные российские показатели, руководство Final Guidelines On The Security Of Internet Payment выглядит более чем своевременным документом. Его основные положения – повышение безопасности транзакций электронной коммерции и внедрение механизмов двухфакторной аутентификации – сегодня более чем актуальны. Справедливости ради следует отметить, что в том или ином виде все эти моменты уже реализованы многими участниками европейского рынка. Что же касается их российских коллег, то они в этом плане пошли еще дальше, практически повсеместно используя механизмы 3D-Secure с динамической аутентификацией и иные инновационные меры предостережения мошенничества по интернет-платежам. В этом плане они во многом опережают европейские банки, зачастую до сих пор применяющие для CNP-транзакций в рамках 3D-Secure одноразовые статические пароли, уже давно признанные небезопасными.

На этом фоне новое руководство EBA, основная цель которого – со временем сделать обязательным применение самых современных мер обеспечения безопасности транзакций электронной коммерции – может существенно улучшить ситуацию с онлайн-фродом в Европе. Что касается России, то нам в этом плане, как я уже отметил, заимствовать что-либо уже поздно – отечественный рынок заметно ушел вперед.


Можно предполагать, что требования EBA никак не повлияют на платежный интернет-бизнес в России


П. Шаповалов: Для России, на мой взгляд, такой подход, как введение обязательных требований к безопасности интернет-платежей, является, конечно же, весьма актуальным, ведь проблемы с мошенническими транзакциями, атаками на платежные сервисы и так далее – это проблема не только Европы или Америки, но всей мировой платежной индустрии. В РФ уже существует 382П для защиты электронных платежей, применяется PCI DSS. Все это помогает противостоять угрозам информационной безопасности платежей в России. Уверен, что требования всех этих документов будут поддерживаться в актуальном состоянии. Иначе в платежной индустрии просто нельзя.

А. Гайко: Требования EBA действуют в юрисдикции Европейского союза и обязательны для всех стран-участников. Российские бизнес-структуры, которые предлагают свои платежные сервисы на территории Европы и имеют там свои представительства, конечно же, будут обязаны выполнять эти требования. Насколько нам известно, сегодня ведут свой бизнес на территории ЕС и имеют там представительства не так много отечественных сервис-провайдеров. Поэтому можно утверждать, что требования EBA никак не повлияют на платежный интернет-бизнес в России.

Е. Бабицкий: Не думаю, что в ближайшие пару лет мы увидим какие-то существенные изменения, которые будут продиктованы этим руководством. Также нужно понимать, что большинство тезисов этого документа давно известны игрокам нашего рынка, и серьезных проблем с их реализацией ни у кого возникнуть не должно.

А. Гольдштейн: На мой взгляд, прямого влияния реализация положений Директивы на интернет-бизнес в России не окажет, так как наиболее популярные в России зарубежные платежные системы, интернет-кошельки, а также e-commerce мерчанты не находятся в юрисдикции Европейского союза.

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных