Банковское обозрение

Финансовая сфера

04.09.2019 АналитикаРазговоры финансистов
ТКБ: двойное подключение

О том, как подключить к ЕБС сразу два банка, в ходе Банковского саммита ЦФТ-2019 поговорили Вадим Ференец, обозреватель «Б.О», Елена Ходюня, коммерческий директор дирекции «Расчеты» ГК ЦФТ, и Андрей Суздалев, начальник управления развития информационных систем Транскапиталбанка (ТКБ)



Вадим Ференец: Андрей, вы на сегодняшний день, похоже, наиболее опытный в России специалист в области выполнения требований регуляторов по сбору и отправке биометрических данных в ЕБС. Расскажите, как можно дважды войти в одну реку под названием «ЕБС»?

 

Елена Ходюня (ГК ЦФТ), Андрей Суздалев (ТКБ) и Вадим Ференец («Б.О»). Фото: ЦФТ

Елена Ходюня (ГК ЦФТ), Андрей Суздалев (ТКБ) и Вадим Ференец («Б.О»). Фото: ЦФТ

Андрей Суздалев: У ТКБ на санации находится Инвестторгбанк. Мы долго лелеяли надежду на то, что его «биометрия» не затронет, а дело ограничится лишь работами в ТКБ. Но ЦБ рассудил иначе, и нам пришлось проходить эту историю с ЕБС дважды: сначала с ТКБ, а потом, с некоторой задержкой, с Инвестторгбанком.

Вадим Ференец: Не этим ли фактом обусловлен переход в «облако»? Или были и другие причины?

Андрей Суздалев: Причин было несколько. Во-первых, решение достаточно дорогое. Его надо еще аттестовывать и в дальнейшем самостоятельно поддерживать, обеспечивать отказоустойчивостью, следить за актуальностью версионных систем. Немаловажным требованием со стороны нашего руководства было не увеличивать количество сотрудников в штате, которые будут все это обслуживать.

Елена Ходюня: Я бы хотела здесь дополнить Андрея. На конец апреля 2019 года насчитывалось около 129 банков, в которых автоматизировали процессы по сбору биометрии. Из них примерно 10% внедрили все элементы информационной безопасности, которые требуют регуляторы.

Напомню, что одной из главных целей запуска ЕБС было желание привнести на рынок элементы дополнительной конкуренции за клиента в дистанционных каналах обслуживания со стороны малых и региональных банков. Реальный запуск подключения к ЕБС — это большая интеграционная задача, решить которую оптимально, по моему мнению, можно в облаке. При этом ни на минуту не забывая задачи по обеспечению должного уровня ИБ. Опасаться здесь нечего, надо учиться с ними правильно работать и знать положения регуляторов на этот счет.

Предлагаю обратиться к руководящим документам Банка России. Так, ЦБ РФ в Методических рекомендациях № 4-МР по нейтрализации банками угроз безопасности от 14 февраля 2019 года в пункте 2.3.8 пишет о трех вариантах реализации подключения к ЕБС: с использованием собственного решения, с использованием типового решения и с использованием решения поставщика услуг (облачного решения).

Первый путь, как известно, выбрал, например, Тинькофф Банк. Второй подразумевает размещение и элементов ИБ, и всей обвязки, осуществляемой прикладным ПО, в инфраструктуре банка. При этом используется некое типовое решение, утвержденное регуляторами, которое мы также реализовали. Оба варианта — in-house. Третий официально рекомендованный Банком России путь — это и есть облачный вариант, одним из таких поставщиков услуг является ЦФТ.

Андрей Суздалев: Елена, я хотел бы попросить вас еще раз систематизировать бизнес-процессы, которыми сопровождаются варианты работы клиента, банка и ЕБС.

Елена Ходюня: Да, конечно! Напомню, что руководящие документы выделяют два режима: идентификация клиента при его личном присутствии и без личного присутствия. Каждый режим имеет четыре этапа.

При личном присутствии клиента сначала производится его идентификация в соответствии с ФЗ-115 и ФЗ-149, а также сбор персональных данных (ПДн) и биометрических данных (БДн). Сейчас это фото и слепок голоса, хотя коллеги из Ростелекома предусмотрели техническую возможность передачи и отпечатков пальцев. Кроме того, создается или модифицируется учетная запись в ЕСИА для дистанционного получения финансовых услуг и идет передача ПДн в ЕСИА и БДн в ЕБС.

Режим «без личного присутствия» требует сначала авторизации клиента в ЕСИА с использованием Интернета, затем проверки соответствия БДн данным, содержащимся в биометрической системе. Наконец, происходит передача из ЕСИА ПДн и степени схожести БДн в банк. Завершают процесс дистанционное подписание договора простой электронной подписью с использованием ЕСИА, а также дистанционное предоставление банковских услуг клиенту в системах ДБО.

Вадим Ференец: Андрей своим вопросом несколько увел нас от основной темы беседы, но невольно поднял другую проблему. Ранее Елена говорила о формальном подходе при подключении к ЕБС. Но практически каждый этап, озвученный ей сейчас, требует интеграции множества систем как внутри банка, так и вне его. Например, процедура открытия счета в банке, если его еще нет. А ведь все должно происходить практически в режиме реального времени.

Елена Ходюня: Все верно, подключение к ЕБС — это действительно сложный проект, хоть в облаке, хоть in-house, если относиться к этой задаче комплексно. Напомню, цель ЕБС — повысить доступность финансовых продуктов для населения. Казалось бы, всего два процесса, требующих автоматизации (сбор биометрии и процедура прохождения удаленной идентификации), а за всем этим стоит много чего того, что надо сделать для того, чтобы получился Full Digital-проект. Например, необходимо научиться выкладывать финансовые продукты в маркетплейс или на дистанционную площадку банка (на сайт, например), проводить различные проверки клиента, принять клиента на обслуживание, модифицировать внутренние регламенты банка, скорректировать методологию и в итоге предоставить клиенту в электронном виде услугу или продукт.

У ЦФТ как вендора есть масса облачных решений по автоматизации этих и множества других бизнес-процессов, уже инсталлированных во многих финансовых организациях. Поэтому ЦФТ и вышел первым на рынок облачных услуг с действительно уникальным решением для подключения к ЕБС.

Вадим Ференец: Насколько мне удалось понять специфику, кроме решения вопросов с интеграцией крайне важная роль при подключении к ЕБС отводится обеспечению ИБ, а также плотному взаимодействию с целым набором регуляторов.

Андрей Суздалев: Начну, пожалуй, с того, что изначально мы, как я уже отметил, планировали ограничиться одним проектом в ТКБ. Поэтому путь начинался в in-house-русле. Но переписка с ЦБ привела к пониманию того, что для разных юридических лиц, каковыми являются ТКБ и Инвестторгбанк, одна из самых затратных компонент — модули КриптоПро HSM, которые придется покупать для каждого банка отдельно. Причем в каждом случае требуется не одно устройство, а по три экземпляра для обеспечения заданных показателей по отказоустойчивости, дублированию и резервированию. Напомню, эти показатели находятся под контролем ЦБ. Напомню и то, что HSM просто так в магазине не купишь, необходимы предзаказ и ожидание в очереди, а сроки по проекту у нас были жесткие. Когда реально началось обсуждение варианта с облаком, пришлось потратить время на ожидание, пока ЦБ и ФСБ договорятся и сформулируют окончательные требования к тому, как из начатого in-house-развертывания прейти к облачному варианту. Но регуляторы, отмечу, активно нам помогали, что для нас даже стало сюрпризом.

Когда реально началось обсуждение варианта с облаком, пришлось потратить время на ожидание, пока ЦБ и ФСБ договорятся и сформулируют окончательные требования к тому, как из начатого in-house-развертывания прейти к облачному варианту

Пока шла переписка, выяснилось, что изменилась форма подачи заявок. Соответственно те тесты, которые мы буквально месяц назад прошли с одним банком, для другого банка теперь не проходят, требуются новые. Очевидно, на стороне госорганов постоянно идет процесс изменений и дополнений.

Елена Ходюня: Можно предположить, что изменились форматы в ЕСИА.

Андрей Суздалев: Что бы там ни было, нас опять ждала неделя переписки и т.д. Это жизнь, ни в одном регулирующем документе всего не пропишешь.

Елена Ходюня: Как непосредственный участник этих событий отмечу: если подходить ко всей этой истории исключительно формально, то юридических коллизий здесь еще много. Хочется сказать большое спасибо всем участникам переговоров со стороны регуляторов, а также компании «КриптоПро» за успешный процесс согласования системного проекта облачного решения. Сейчас мы все ждем заветного штампа ФСБ.

Вадим Ференец: Но ведь всего в облако не вынесешь. Люди должны приходить в банк и сдавать биометрию.

Андрей Суздалев: На нашей стороне остались автоматизированное рабочее место для снятия биометрических данных, несколько серверов и элементы инфраструктуры для двусторонней связи с облаком ЦФТ.

Вадим Ференец: Как всегда, у меня есть провокационный вопрос: на ком какая ответственность? ТКБ и Инвестторгбанк продолжают нести обязанность по сбору БДн?

Андрей Суздалев: Банки продолжают нести полную ответственность, потому что вместе с каждой фотографией и образом голоса, которые отправляются в ЕБС, отдается СНИЛС оператора, снявего биометрию. У оператора есть токен с ЭЦП. Именно на этом человеке лежит ответственность за то, что паспорт он проверил должным образом, «в глазки клиенту заглянул» и лично убедился, что он это он. По существующим регламентам, «крайний» — это оператор, потому что на нем ответственность замыкается. Поэтому организация работы с персоналом является (помимо работы с «железа» и софтом) крайне важным компонентом подключения к ЕБС.

Елена Ходюня: Наша с ТКБ ответственность прописана в договоре. Это стандартная на сегодня схема. В рамках нашей ответственности ЦФТ помимо предоставления ресурсов «железа», берет на себя обслуживание инфраструктуры, обеспечения ИБ, в том числе контроль встраивания и т.д., и т.п. Подчеркну еще раз: облачная информационная безопасность тоже входит в поставку решения для банка, ведь далеко не каждый банк может «потянуть» требования по безопасности.

Вадим Ференец: Хотелось бы в завершение спросить Андрея о том, что из всего спектра возможностей, открывающихся благодаря подключению к ЕБС, уже достигнуто и куда направлен вектор дальнейшего развития?

Андрей Суздалев: Елена хорошо рассказала о плюсах интеграции продуктов и сервисов внутри банка. Это все необходимо тщательно изучить и проработать варианты. У нас сейчас рассматривается вопрос о миграции на Faktura.ru от ЦФТ. Есть и другие планы. Скажу, что общий вектор развития IT в ТКБ направлен на Full Digital. Но не все сразу! Сейчас мы научились хорошо собирать и передавать биометрические данные в ЕБС, будем стремиться и ко всему остальному!




Присоединяйся к нам в телеграмм
Читайте также

Сейчас на главной