Банковское обозрение

Финансовая сфера

04.09.2019 АналитикаРазговоры финансистов
ТКБ: двойное подключение

О том, как подключить к ЕБС сразу два банка, в ходе Банковского саммита ЦФТ-2019 поговорили Вадим Ференец, обозреватель «Б.О», Елена Ходюня, коммерческий директор дирекции «Расчеты» ГК ЦФТ, и Андрей Суздалев, начальник управления развития информационных систем Транскапиталбанка (ТКБ)


Андрей Суздалев
Начальник управления развития информационных систем Транскапиталбанка
Елена Ходюня
коммерческий директор дирекции «Расчеты» ГК ЦФТ
Вадим Ференец
Обозреватель
Банковское обозрение

Вадим Ференец: Андрей, вы на сегодняшний день, похоже, наиболее опытный в России специалист в области выполнения требований регуляторов по сбору и отправке биометрических данных в ЕБС. Расскажите, как можно дважды войти в одну реку под названием «ЕБС»?

 

Елена Ходюня (ГК ЦФТ), Андрей Суздалев (ТКБ) и Вадим Ференец («Б.О»). Фото: ЦФТ

Елена Ходюня (ГК ЦФТ), Андрей Суздалев (ТКБ) и Вадим Ференец («Б.О»). Фото: ЦФТ

Андрей Суздалев: У ТКБ на санации находится Инвестторгбанк. Мы долго лелеяли надежду на то, что его «биометрия» не затронет, а дело ограничится лишь работами в ТКБ. Но ЦБ рассудил иначе, и нам пришлось проходить эту историю с ЕБС дважды: сначала с ТКБ, а потом, с некоторой задержкой, с Инвестторгбанком.

Вадим Ференец: Не этим ли фактом обусловлен переход в «облако»? Или были и другие причины?

Андрей Суздалев: Причин было несколько. Во-первых, решение достаточно дорогое. Его надо еще аттестовывать и в дальнейшем самостоятельно поддерживать, обеспечивать отказоустойчивостью, следить за актуальностью версионных систем. Немаловажным требованием со стороны нашего руководства было не увеличивать количество сотрудников в штате, которые будут все это обслуживать.

Елена Ходюня: Я бы хотела здесь дополнить Андрея. На конец апреля 2019 года насчитывалось около 129 банков, в которых автоматизировали процессы по сбору биометрии. Из них примерно 10% внедрили все элементы информационной безопасности, которые требуют регуляторы.

Напомню, что одной из главных целей запуска ЕБС было желание привнести на рынок элементы дополнительной конкуренции за клиента в дистанционных каналах обслуживания со стороны малых и региональных банков. Реальный запуск подключения к ЕБС — это большая интеграционная задача, решить которую оптимально, по моему мнению, можно в облаке. При этом ни на минуту не забывая задачи по обеспечению должного уровня ИБ. Опасаться здесь нечего, надо учиться с ними правильно работать и знать положения регуляторов на этот счет.

Предлагаю обратиться к руководящим документам Банка России. Так, ЦБ РФ в Методических рекомендациях № 4-МР по нейтрализации банками угроз безопасности от 14 февраля 2019 года в пункте 2.3.8 пишет о трех вариантах реализации подключения к ЕБС: с использованием собственного решения, с использованием типового решения и с использованием решения поставщика услуг (облачного решения).

Первый путь, как известно, выбрал, например, Тинькофф Банк. Второй подразумевает размещение и элементов ИБ, и всей обвязки, осуществляемой прикладным ПО, в инфраструктуре банка. При этом используется некое типовое решение, утвержденное регуляторами, которое мы также реализовали. Оба варианта — in-house. Третий официально рекомендованный Банком России путь — это и есть облачный вариант, одним из таких поставщиков услуг является ЦФТ.

Андрей Суздалев: Елена, я хотел бы попросить вас еще раз систематизировать бизнес-процессы, которыми сопровождаются варианты работы клиента, банка и ЕБС.

Елена Ходюня: Да, конечно! Напомню, что руководящие документы выделяют два режима: идентификация клиента при его личном присутствии и без личного присутствия. Каждый режим имеет четыре этапа.

При личном присутствии клиента сначала производится его идентификация в соответствии с ФЗ-115 и ФЗ-149, а также сбор персональных данных (ПДн) и биометрических данных (БДн). Сейчас это фото и слепок голоса, хотя коллеги из Ростелекома предусмотрели техническую возможность передачи и отпечатков пальцев. Кроме того, создается или модифицируется учетная запись в ЕСИА для дистанционного получения финансовых услуг и идет передача ПДн в ЕСИА и БДн в ЕБС.

Режим «без личного присутствия» требует сначала авторизации клиента в ЕСИА с использованием Интернета, затем проверки соответствия БДн данным, содержащимся в биометрической системе. Наконец, происходит передача из ЕСИА ПДн и степени схожести БДн в банк. Завершают процесс дистанционное подписание договора простой электронной подписью с использованием ЕСИА, а также дистанционное предоставление банковских услуг клиенту в системах ДБО.

Вадим Ференец: Андрей своим вопросом несколько увел нас от основной темы беседы, но невольно поднял другую проблему. Ранее Елена говорила о формальном подходе при подключении к ЕБС. Но практически каждый этап, озвученный ей сейчас, требует интеграции множества систем как внутри банка, так и вне его. Например, процедура открытия счета в банке, если его еще нет. А ведь все должно происходить практически в режиме реального времени.

Елена Ходюня: Все верно, подключение к ЕБС — это действительно сложный проект, хоть в облаке, хоть in-house, если относиться к этой задаче комплексно. Напомню, цель ЕБС — повысить доступность финансовых продуктов для населения. Казалось бы, всего два процесса, требующих автоматизации (сбор биометрии и процедура прохождения удаленной идентификации), а за всем этим стоит много чего того, что надо сделать для того, чтобы получился Full Digital-проект. Например, необходимо научиться выкладывать финансовые продукты в маркетплейс или на дистанционную площадку банка (на сайт, например), проводить различные проверки клиента, принять клиента на обслуживание, модифицировать внутренние регламенты банка, скорректировать методологию и в итоге предоставить клиенту в электронном виде услугу или продукт.

У ЦФТ как вендора есть масса облачных решений по автоматизации этих и множества других бизнес-процессов, уже инсталлированных во многих финансовых организациях. Поэтому ЦФТ и вышел первым на рынок облачных услуг с действительно уникальным решением для подключения к ЕБС.

Вадим Ференец: Насколько мне удалось понять специфику, кроме решения вопросов с интеграцией крайне важная роль при подключении к ЕБС отводится обеспечению ИБ, а также плотному взаимодействию с целым набором регуляторов.

Андрей Суздалев: Начну, пожалуй, с того, что изначально мы, как я уже отметил, планировали ограничиться одним проектом в ТКБ. Поэтому путь начинался в in-house-русле. Но переписка с ЦБ привела к пониманию того, что для разных юридических лиц, каковыми являются ТКБ и Инвестторгбанк, одна из самых затратных компонент — модули КриптоПро HSM, которые придется покупать для каждого банка отдельно. Причем в каждом случае требуется не одно устройство, а по три экземпляра для обеспечения заданных показателей по отказоустойчивости, дублированию и резервированию. Напомню, эти показатели находятся под контролем ЦБ. Напомню и то, что HSM просто так в магазине не купишь, необходимы предзаказ и ожидание в очереди, а сроки по проекту у нас были жесткие. Когда реально началось обсуждение варианта с облаком, пришлось потратить время на ожидание, пока ЦБ и ФСБ договорятся и сформулируют окончательные требования к тому, как из начатого in-house-развертывания прейти к облачному варианту. Но регуляторы, отмечу, активно нам помогали, что для нас даже стало сюрпризом.

Когда реально началось обсуждение варианта с облаком, пришлось потратить время на ожидание, пока ЦБ и ФСБ договорятся и сформулируют окончательные требования к тому, как из начатого in-house-развертывания прейти к облачному варианту

Пока шла переписка, выяснилось, что изменилась форма подачи заявок. Соответственно те тесты, которые мы буквально месяц назад прошли с одним банком, для другого банка теперь не проходят, требуются новые. Очевидно, на стороне госорганов постоянно идет процесс изменений и дополнений.

Елена Ходюня: Можно предположить, что изменились форматы в ЕСИА.

Андрей Суздалев: Что бы там ни было, нас опять ждала неделя переписки и т.д. Это жизнь, ни в одном регулирующем документе всего не пропишешь.

Елена Ходюня: Как непосредственный участник этих событий отмечу: если подходить ко всей этой истории исключительно формально, то юридических коллизий здесь еще много. Хочется сказать большое спасибо всем участникам переговоров со стороны регуляторов, а также компании «КриптоПро» за успешный процесс согласования системного проекта облачного решения. Сейчас мы все ждем заветного штампа ФСБ.

Вадим Ференец: Но ведь всего в облако не вынесешь. Люди должны приходить в банк и сдавать биометрию.

Андрей Суздалев: На нашей стороне остались автоматизированное рабочее место для снятия биометрических данных, несколько серверов и элементы инфраструктуры для двусторонней связи с облаком ЦФТ.

Вадим Ференец: Как всегда, у меня есть провокационный вопрос: на ком какая ответственность? ТКБ и Инвестторгбанк продолжают нести обязанность по сбору БДн?

Андрей Суздалев: Банки продолжают нести полную ответственность, потому что вместе с каждой фотографией и образом голоса, которые отправляются в ЕБС, отдается СНИЛС оператора, снявего биометрию. У оператора есть токен с ЭЦП. Именно на этом человеке лежит ответственность за то, что паспорт он проверил должным образом, «в глазки клиенту заглянул» и лично убедился, что он это он. По существующим регламентам, «крайний» — это оператор, потому что на нем ответственность замыкается. Поэтому организация работы с персоналом является (помимо работы с «железа» и софтом) крайне важным компонентом подключения к ЕБС.

Елена Ходюня: Наша с ТКБ ответственность прописана в договоре. Это стандартная на сегодня схема. В рамках нашей ответственности ЦФТ помимо предоставления ресурсов «железа», берет на себя обслуживание инфраструктуры, обеспечения ИБ, в том числе контроль встраивания и т.д., и т.п. Подчеркну еще раз: облачная информационная безопасность тоже входит в поставку решения для банка, ведь далеко не каждый банк может «потянуть» требования по безопасности.

Вадим Ференец: Хотелось бы в завершение спросить Андрея о том, что из всего спектра возможностей, открывающихся благодаря подключению к ЕБС, уже достигнуто и куда направлен вектор дальнейшего развития?

Андрей Суздалев: Елена хорошо рассказала о плюсах интеграции продуктов и сервисов внутри банка. Это все необходимо тщательно изучить и проработать варианты. У нас сейчас рассматривается вопрос о миграции на Faktura.ru от ЦФТ. Есть и другие планы. Скажу, что общий вектор развития IT в ТКБ направлен на Full Digital. Но не все сразу! Сейчас мы научились хорошо собирать и передавать биометрические данные в ЕБС, будем стремиться и ко всему остальному!




Читайте также

Сейчас на главной