Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
О том, как подключить к ЕБС сразу два банка, в ходе Банковского саммита ЦФТ-2019 поговорили Вадим Ференец, обозреватель «Б.О», Елена Ходюня, коммерческий директор дирекции «Расчеты» ГК ЦФТ, и Андрей Суздалев, начальник управления развития информационных систем Транскапиталбанка (ТКБ)
Вадим Ференец: Андрей, вы на сегодняшний день, похоже, наиболее опытный в России специалист в области выполнения требований регуляторов по сбору и отправке биометрических данных в ЕБС. Расскажите, как можно дважды войти в одну реку под названием «ЕБС»?
Елена Ходюня (ГК ЦФТ), Андрей Суздалев (ТКБ) и Вадим Ференец («Б.О»). Фото: ЦФТ
Андрей Суздалев: У ТКБ на санации находится Инвестторгбанк. Мы долго лелеяли надежду на то, что его «биометрия» не затронет, а дело ограничится лишь работами в ТКБ. Но ЦБ рассудил иначе, и нам пришлось проходить эту историю с ЕБС дважды: сначала с ТКБ, а потом, с некоторой задержкой, с Инвестторгбанком.
Вадим Ференец: Не этим ли фактом обусловлен переход в «облако»? Или были и другие причины?
Андрей Суздалев: Причин было несколько. Во-первых, решение достаточно дорогое. Его надо еще аттестовывать и в дальнейшем самостоятельно поддерживать, обеспечивать отказоустойчивостью, следить за актуальностью версионных систем. Немаловажным требованием со стороны нашего руководства было не увеличивать количество сотрудников в штате, которые будут все это обслуживать.
Елена Ходюня: Я бы хотела здесь дополнить Андрея. На конец апреля 2019 года насчитывалось около 129 банков, в которых автоматизировали процессы по сбору биометрии. Из них примерно 10% внедрили все элементы информационной безопасности, которые требуют регуляторы.
Напомню, что одной из главных целей запуска ЕБС было желание привнести на рынок элементы дополнительной конкуренции за клиента в дистанционных каналах обслуживания со стороны малых и региональных банков. Реальный запуск подключения к ЕБС — это большая интеграционная задача, решить которую оптимально, по моему мнению, можно в облаке. При этом ни на минуту не забывая задачи по обеспечению должного уровня ИБ. Опасаться здесь нечего, надо учиться с ними правильно работать и знать положения регуляторов на этот счет.
Предлагаю обратиться к руководящим документам Банка России. Так, ЦБ РФ в Методических рекомендациях № 4-МР по нейтрализации банками угроз безопасности от 14 февраля 2019 года в пункте 2.3.8 пишет о трех вариантах реализации подключения к ЕБС: с использованием собственного решения, с использованием типового решения и с использованием решения поставщика услуг (облачного решения).
Первый путь, как известно, выбрал, например, Тинькофф Банк. Второй подразумевает размещение и элементов ИБ, и всей обвязки, осуществляемой прикладным ПО, в инфраструктуре банка. При этом используется некое типовое решение, утвержденное регуляторами, которое мы также реализовали. Оба варианта — in-house. Третий официально рекомендованный Банком России путь — это и есть облачный вариант, одним из таких поставщиков услуг является ЦФТ.
Андрей Суздалев: Елена, я хотел бы попросить вас еще раз систематизировать бизнес-процессы, которыми сопровождаются варианты работы клиента, банка и ЕБС.
Елена Ходюня: Да, конечно! Напомню, что руководящие документы выделяют два режима: идентификация клиента при его личном присутствии и без личного присутствия. Каждый режим имеет четыре этапа.
При личном присутствии клиента сначала производится его идентификация в соответствии с ФЗ-115 и ФЗ-149, а также сбор персональных данных (ПДн) и биометрических данных (БДн). Сейчас это фото и слепок голоса, хотя коллеги из Ростелекома предусмотрели техническую возможность передачи и отпечатков пальцев. Кроме того, создается или модифицируется учетная запись в ЕСИА для дистанционного получения финансовых услуг и идет передача ПДн в ЕСИА и БДн в ЕБС.
Режим «без личного присутствия» требует сначала авторизации клиента в ЕСИА с использованием Интернета, затем проверки соответствия БДн данным, содержащимся в биометрической системе. Наконец, происходит передача из ЕСИА ПДн и степени схожести БДн в банк. Завершают процесс дистанционное подписание договора простой электронной подписью с использованием ЕСИА, а также дистанционное предоставление банковских услуг клиенту в системах ДБО.
Вадим Ференец: Андрей своим вопросом несколько увел нас от основной темы беседы, но невольно поднял другую проблему. Ранее Елена говорила о формальном подходе при подключении к ЕБС. Но практически каждый этап, озвученный ей сейчас, требует интеграции множества систем как внутри банка, так и вне его. Например, процедура открытия счета в банке, если его еще нет. А ведь все должно происходить практически в режиме реального времени.
Елена Ходюня: Все верно, подключение к ЕБС — это действительно сложный проект, хоть в облаке, хоть in-house, если относиться к этой задаче комплексно. Напомню, цель ЕБС — повысить доступность финансовых продуктов для населения. Казалось бы, всего два процесса, требующих автоматизации (сбор биометрии и процедура прохождения удаленной идентификации), а за всем этим стоит много чего того, что надо сделать для того, чтобы получился Full Digital-проект. Например, необходимо научиться выкладывать финансовые продукты в маркетплейс или на дистанционную площадку банка (на сайт, например), проводить различные проверки клиента, принять клиента на обслуживание, модифицировать внутренние регламенты банка, скорректировать методологию и в итоге предоставить клиенту в электронном виде услугу или продукт.
У ЦФТ как вендора есть масса облачных решений по автоматизации этих и множества других бизнес-процессов, уже инсталлированных во многих финансовых организациях. Поэтому ЦФТ и вышел первым на рынок облачных услуг с действительно уникальным решением для подключения к ЕБС.
Вадим Ференец: Насколько мне удалось понять специфику, кроме решения вопросов с интеграцией крайне важная роль при подключении к ЕБС отводится обеспечению ИБ, а также плотному взаимодействию с целым набором регуляторов.
Андрей Суздалев: Начну, пожалуй, с того, что изначально мы, как я уже отметил, планировали ограничиться одним проектом в ТКБ. Поэтому путь начинался в in-house-русле. Но переписка с ЦБ привела к пониманию того, что для разных юридических лиц, каковыми являются ТКБ и Инвестторгбанк, одна из самых затратных компонент — модули КриптоПро HSM, которые придется покупать для каждого банка отдельно. Причем в каждом случае требуется не одно устройство, а по три экземпляра для обеспечения заданных показателей по отказоустойчивости, дублированию и резервированию. Напомню, эти показатели находятся под контролем ЦБ. Напомню и то, что HSM просто так в магазине не купишь, необходимы предзаказ и ожидание в очереди, а сроки по проекту у нас были жесткие. Когда реально началось обсуждение варианта с облаком, пришлось потратить время на ожидание, пока ЦБ и ФСБ договорятся и сформулируют окончательные требования к тому, как из начатого in-house-развертывания прейти к облачному варианту. Но регуляторы, отмечу, активно нам помогали, что для нас даже стало сюрпризом.
Когда реально началось обсуждение варианта с облаком, пришлось потратить время на ожидание, пока ЦБ и ФСБ договорятся и сформулируют окончательные требования к тому, как из начатого in-house-развертывания прейти к облачному варианту
Пока шла переписка, выяснилось, что изменилась форма подачи заявок. Соответственно те тесты, которые мы буквально месяц назад прошли с одним банком, для другого банка теперь не проходят, требуются новые. Очевидно, на стороне госорганов постоянно идет процесс изменений и дополнений.
Елена Ходюня: Можно предположить, что изменились форматы в ЕСИА.
Андрей Суздалев: Что бы там ни было, нас опять ждала неделя переписки и т.д. Это жизнь, ни в одном регулирующем документе всего не пропишешь.
Елена Ходюня: Как непосредственный участник этих событий отмечу: если подходить ко всей этой истории исключительно формально, то юридических коллизий здесь еще много. Хочется сказать большое спасибо всем участникам переговоров со стороны регуляторов, а также компании «КриптоПро» за успешный процесс согласования системного проекта облачного решения. Сейчас мы все ждем заветного штампа ФСБ.
Вадим Ференец: Но ведь всего в облако не вынесешь. Люди должны приходить в банк и сдавать биометрию.
Андрей Суздалев: На нашей стороне остались автоматизированное рабочее место для снятия биометрических данных, несколько серверов и элементы инфраструктуры для двусторонней связи с облаком ЦФТ.
Вадим Ференец: Как всегда, у меня есть провокационный вопрос: на ком какая ответственность? ТКБ и Инвестторгбанк продолжают нести обязанность по сбору БДн?
Андрей Суздалев: Банки продолжают нести полную ответственность, потому что вместе с каждой фотографией и образом голоса, которые отправляются в ЕБС, отдается СНИЛС оператора, снявего биометрию. У оператора есть токен с ЭЦП. Именно на этом человеке лежит ответственность за то, что паспорт он проверил должным образом, «в глазки клиенту заглянул» и лично убедился, что он это он. По существующим регламентам, «крайний» — это оператор, потому что на нем ответственность замыкается. Поэтому организация работы с персоналом является (помимо работы с «железа» и софтом) крайне важным компонентом подключения к ЕБС.
Елена Ходюня: Наша с ТКБ ответственность прописана в договоре. Это стандартная на сегодня схема. В рамках нашей ответственности ЦФТ помимо предоставления ресурсов «железа», берет на себя обслуживание инфраструктуры, обеспечения ИБ, в том числе контроль встраивания и т.д., и т.п. Подчеркну еще раз: облачная информационная безопасность тоже входит в поставку решения для банка, ведь далеко не каждый банк может «потянуть» требования по безопасности.
Вадим Ференец: Хотелось бы в завершение спросить Андрея о том, что из всего спектра возможностей, открывающихся благодаря подключению к ЕБС, уже достигнуто и куда направлен вектор дальнейшего развития?
Андрей Суздалев: Елена хорошо рассказала о плюсах интеграции продуктов и сервисов внутри банка. Это все необходимо тщательно изучить и проработать варианты. У нас сейчас рассматривается вопрос о миграции на Faktura.ru от ЦФТ. Есть и другие планы. Скажу, что общий вектор развития IT в ТКБ направлен на Full Digital. Но не все сразу! Сейчас мы научились хорошо собирать и передавать биометрические данные в ЕБС, будем стремиться и ко всему остальному!
О совместном опыте МТС Банка и ЦФТ по подключению к Единой биометрической системе (ЕБС) в режиме in-house, а также об управлении сопутствующими рисками обозреватель «Б.О» Вадим Ференец поговорил с руководителем службы противодействия мошенничеству МТС Банка Игорем Ермаком и коммерческим директором дирекции «Расчеты» ГК ЦФТ Еленой Ходюня
Личные фонды заметно набрали популярность. Запрос на появление такой правовой конструкции в России стремительно формировался среди держателей крупного частного капитала все последнее десятилетие. Институт «прижизненных» личных фондов, т.е. создаваемых при жизни учредителей, появился в законодательстве с 1 марта 2022-го, но статистика показывает, что действительный интерес к ним резко усилился лишь во второй половине прошлого года. Тогда же они стали массовыми: на конец января 2025 года в России зарегистрировали 164 личных фонда, а за весь период с 2022 года по 2023-й — только 16
О том, что может предложить банкам разработчик современного импортонезависимого ПО для работы с рисками, внутренним аудитом и контролем, рассказал Сергей Степаненко, директор дивизиона технологического развития управления рисками и ALM компании «Т1 Иннотех»