17 ноября, суббота 10:09
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П и Фактура

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • 382-П и Фактура

    Здравствуйте всем!

    Кто как думает?
    Является ли система типа Faktura или HandyBank платежной системой?
    Если нет, то почему?

  • #2
    Я бы их назвал оператор услуг платежной инфраструктуры

    Комментарий


    • #3
      Алексей Лукацкий, +1

      Комментарий


      • #4
        Хотя Фактура может быть еще и платежной системой

        Комментарий


        • #5
          Алексей Лукацкий,
          Согласно 161-ФЗ тогда больше подходит это:
          "8) операционный центр - организация, обеспечивающая в рамках платежной системы для участников платежной системы и их клиентов доступ к услугам по переводу денежных средств, в том числе с использованием электронных средств платежа, а также обмен электронными сообщениями (далее - операционные услуги);"

          Комментарий


          • #6
            Сообщение от surfer Посмотреть сообщение
            Алексей Лукацкий,
            Согласно 161-ФЗ тогда больше подходит это:
            "8) операционный центр - организация, обеспечивающая в рамках платежной системы для участников платежной системы и их клиентов доступ к услугам по переводу денежных средств, в том числе с использованием электронных средств платежа, а также обмен электронными сообщениями (далее - операционные услуги);"
            А операционный центр - это один из видов оператора платежной инфраструктуры. Посмотрел детально описание Фактуры. Они точно оператор инфраструктуры, но не оператор платежной системы.

            Комментарий


            • #7
              Я рассматриваю Фактуру, как систему электронного документооборота. Не более.
              А вообще, хорошо бы уточнить, о чём действительно идёт речь. Ядром Фактуры является корпоративная информационная система BeSafe. А вот на неё уже навешано множество сервисов, начиная от Обмена электронными документами и заканчивая системой денежных переводов Золотая корона.

              Комментарий


              • #8
                Сообщение от Berckut Посмотреть сообщение
                Я рассматриваю Фактуру, как систему электронного документооборота. Не более.
                А вообще, хорошо бы уточнить, о чём действительно идёт речь. Ядром Фактуры является корпоративная информационная система BeSafe. А вот на неё уже навешано множество сервисов, начиная от Обмена электронными документами и заканчивая системой денежных переводов Золотая корона.
                Не согласна.
                В данной системе информация представляет собой электронный платежный документ, заверенный ЭП. И эта информация пораждает обязательства для банка (оператора по переводу ДС) исполнения поручения физ лица по его расчетному счету.

                Комментарий


                • #9
                  Сообщение от Dolphina12 Посмотреть сообщение
                  Не согласна.
                  В данной системе информация представляет собой электронный платежный документ, заверенный ЭП. И эта информация пораждает обязательства для банка (оператора по переводу ДС) исполнения поручения физ лица по его расчетному счету.
                  Уточнений не было, поэтому буду исходить из того, что разговор идёт про услугу интернет-банкинга.
                  Я у себя долго воевал по этому поводу, но в конце концов переубедил, что необходимо менять юридическую основу услуги. Ниже, выдержки из моей служебки. Она немного устарела, но в целом актуальна.

                  Модель системы Интернет-банкинг
                  Модель системы Интернет-банкинга может быть представлена как взаимодействие 3-х подсис-тем: Удостоверяющий центр AUTHORITY, Корпоративная информационная система BeSafe (КИС Be-Safe), АБС Банка.
                  Удостоверяющий центр осуществляет выдачу сертификатов электронной подписи, которые могут быть использованы для подписания электронных документов в КИС BeSafe. Между удостоверяющим центром AUTHORITY и Банком заключено соглашение, согласно которому Банк является агентом удо-стоверяющего центра и от его имени производит выдачу сертификатов электронной подписи. Важно по-нимать, что клиент пишет заявление в удостоверяющий центр, а не в Банк, и сертификат выдаёт удосто-веряющий центр, а не банк.
                  КИС BeSafe выполняет функции системы электронного документооборота. КИС BeSafe работает в рамках 1-ФЗ [1.3.]. В КИС BeSafe реализовано несколько сервисов, с помощью которых могут предос-тавляться различные услуги, в том числе, имеется Сервис «Обмен электронными документами» (Сер-вис). Оператором Сервиса является ЗАО «Биллинговый центр», Банк является участником этого Сервиса наравне с другими организациями и наделён правом аккредитации в Сервисе своих клиентов. Под ак-кредитацией понимается предоставление Банком возможностей своему клиенту использовать Сервис для обмена электронными документами. Важно понимать, что Банк не предоставляет доступ в свою сис-тему Интернет-банкинга. В реальности, системы Интернет-банкинг не существует в принципе. Это можно назвать услугой (а не системой), которая подразумевает обмен электронными документами через ин-формационную систему, принадлежащую постороннему лицу. Банк подключает клиента к одному из сервисов КИС BeSafe (аккредитует клиента в «чужой» системе), с помощью которой можно обмениваться юридически значимыми электронными документами. Подключаясь к Сервису, согласно правилам этого Сервиса и КИС BeSafe, клиент банка должен согласиться, что он будет соблюдать Правила этой системы и присоединяется к ним. На документы, которыми обмениваются участники КИС BeSafe действуют пра-вила электронного документооборота, установленные операторами КИС BeSafe и Сервиса, а не Банка.
                  Когда клиент, зайдя в Сервис «Обмен электронными документами», создаёт и подписывает элек-тронный документ, то программное обеспечение оператора Сервиса направляет документ адресату со-общения (адресатом является Банк). АБС Банка принимает электронное сообщение, проверяет наличие электронной подписи, формат электронного сообщения и, если всё в порядке, передаёт документ на ис-полнение. А вот при обработке полученных электронных документов уже действуют правила, установ-ленные Банком, и должны соблюдаться требования ЦБ РФ, в том числе 17-П [1.5.], которое задаёт осно-вы обработки электронных платёжных документов.

                  Обмен электронными документами между клиентом и Банком.
                  Согласно доп. соглашению, которое заключается с клиентом, клиенту предоставляется доступ к систему Интернет-банкинга, что противоречит Правилам работы КИС BeSafe, Правилам работы Сервиса «Обмен электронными документами» и договорам, на основании которых мы открываем доступ в «чу-жие» системы нашим клиентам.
                  Банк должен не подключить клиента к системе Интернет-банкинга (коей не существует в принци-пе), а зарегистрировать (аккредитовать) клиента в Сервисе «Обмен электронными документами» КИС BeSafe. Затем клиент и Банк договариваются о том, что электронный документ, обладающий всеми необ-ходимыми реквизитами и направленный через Сервис приравнивается к бумажному документу. Клиент, в свою очередь, присоединяется и соглашается со всеми положениями Правил работы КИС BeSafe и Пра-вил работы Сервиса «Обмен электронными документами».

                  Выдача клиенту сертификатов электронной подписи.
                  При приёме от клиента заявления на выдачу сертификата электронной подписи и подписании ак-та приёма-передачи Банк выступает не как самостоятельное юридическое лицо, которое устанавливает правила этого процесса, а как агент удостоверяющего центра AUTHORITY. Он обязан руководствоваться договором, заключённым с удостоверяющим центром, и Правилами работы удостоверяющего центра, в которых определёны формы заявлений и актов. Банк не имеет права вносить изменений в формы этих документов. Кроме того, договором, заключённым между Банком и удостоверяющим центром, опреде-лён перечень лиц, которые зарегистрированы в удостоверяющем центре, как уполномоченные предста-вители Банка и наделены полномочиями выдавать сертификаты и именно они должны принимать заяв-ления на выдачу сертификатов электронной подписи и подписывать акты приёма-передачи сертифика-тов клиенту.

                  Из выводов:
                  Доп. соглашение должно отражать следующую логику:
                  - Банк предоставляет услугу Интернет-банкинг, а не подключает клиента к системе Интернет-банкинга;
                  - при необходимости уполномоченное лицо клиента генерирует ключи электронной подписи, пишет заявление в удостоверяющий центр (агенту удостоверяющего центра в лице Банка) и получает от удостоверяющего центра (агента удостоверяющего центра в лице Банка) серти-фикат ключа подписи;
                  - Банк осуществляет аккредитацию клиента в КИС BeSafe, а клиент присоединяется к системе и соглашается выполнять установленные в ней правила, в том числе соглашается, что элек-тронные документы, обмен которыми ведётся в этой системе, юридически значимы;
                  - Банк и клиент договариваются о том, что обмен электронными платёжными документами осуществляется через КИС BeSafe;
                  - Банк регистрирует в АБС Банка ЭЦП уполномоченного лица клиента, как АСП клиента, о чём составляется акт регистрации.

                  Комментарий


                  • #10
                    +1
                    Я тоже придерживаюсь такого мнения при общении с руководством.
                    Для справки (может кому пригодится, при "ваянии" своих внутренних документов - спасибо ЦФТ) новые версии Правил УЦ и Besafe:
                    http://www.authority.ru/scdp/page?als=504341
                    http://besafe.ru/scdp/page?als=486538

                    Комментарий


                    • #11
                      Сейчас я бы сюда добавил бы ещё и следующее:
                      Предположим, что клиент получает пустой Ms_Key и генерирует ключи самостоятельно на сайте УЦ. В банк направляется лишь запрос на выдачу сертификата, вернее, его уникальный номер.
                      Роль банка сводится не к выдаче сертификата, а к идентификации лица, направившего сертификат (и это не противоречит правилам УЦ). После чего администратор подписывает запрос своей ЭП и он уходит в УЦ.
                      УЦ создаёт сертификат и направляет его клиенту по электронной почте, установку сертификата клиент производит самостоятельно. Банк получает копию сертификата, распечатывает акт приёма-передачи и подписывает его у клиента. Т.е., формально, имеем, что банк клиенту сертификат не передавал, поскольку идентифицировать клиента и подписать акт, удостоверяющий, что клиент получил сертификат, это не одно и то же, что выдать сертификат клиенту.

                      При таком раскладе получается, что лицензия по криптографии нужна банку только по 2-м видам деятельности:
                      - 21. Передача шифровальных (криптографических) средств. - смарт-карт Ms_Key.
                      - 24. Передача средств изготовления ключевых документов. - если считать, что смарт-карта Ms_Key является средством изготовления ключевых документов.

                      А это уже существенно упрощает требования по персоналу:
                      1) руководитель (образование или 100ч. переподготовки);
                      2) инженерно-технический работник (образование).
                      Назначаем работником себя, отправляем, например, начальника управления безопасности (или кто там стоит над вами) на 100 часов учёбы и можно считать, что требование выполнено.

                      Правда есть и минусы с таким подходом:
                      - начальник ничего делать не будет, всё ляжет на одного человека?
                      - кто будет выдавать смарт-карты (особенно вести учёт) во время отпуска работника и, главное, расписываться акте?
                      - как начальник будет общаться с фсб, когда они будут задавать вопросы по поводу осуществления лицензионной деятельности?

                      Комментарий


                      • #12
                        Подскажите, кто как организовывает передачу MS Key в удаленных офисах, где нет "образованных" сотрудников?

                        Комментарий


                        • #13
                          Сообщение от eaa88 Посмотреть сообщение
                          Подскажите, кто как организовывает передачу MS Key в удаленных офисах, где нет "образованных" сотрудников?
                          В пакете с контролем вскрытия через доверенных сотрудников.

                          Комментарий


                          • #14
                            Сообщение от Berckut Посмотреть сообщение
                            В пакете с контролем вскрытия через доверенных сотрудников.
                            Т.е. для каждого клиента Вы из ГО или Филиала (который может осуществлять лицензионную деятельность) отправляете в Доп. офис специальный пакет, содержащий MS Key, для дальнейшей передачи Клиенту? Или хранение партии MS Key осуществляется в Доп офисе?

                            Комментарий


                            • #15
                              Сообщение от eaa88 Посмотреть сообщение
                              Т.е. для каждого клиента Вы из ГО или Филиала (который может осуществлять лицензионную деятельность) отправляете в Доп. офис специальный пакет, содержащий MS Key, для дальнейшей передачи Клиенту? Или хранение партии MS Key осуществляется в Доп офисе?
                              У нас сейчас схема работы меняется. Я продвигаю именно такую идею: небольшой запас носителей в каждом доп. офисе. Между офисами передача в спецпакете.

                              Комментарий


                              • #16
                                Сообщение от Berckut Посмотреть сообщение
                                У нас сейчас схема работы меняется. Я продвигаю именно такую идею: небольшой запас носителей в каждом доп. офисе. Между офисами передача в спецпакете.
                                Если сотрудники Доп офиса будут физически передавать MS Key Клиенту, то это подпадает под лицензированный вид деятельности, который осуществляет Доп офис, и соответственно сотрудники Доп офиса должны "образованы". Или я ошибаюсь в данных рассуждениях?

                                Комментарий


                                • #17
                                  Сообщение от eaa88 Посмотреть сообщение
                                  Если сотрудники Доп офиса будут физически передавать MS Key Клиенту, то это подпадает под лицензированный вид деятельности, который осуществляет Доп офис, и соответственно сотрудники Доп офиса должны "образованы". Или я ошибаюсь в данных рассуждениях?
                                  Они являются просто каналом передачи, таким же как почта или курьер. Акт на выдачу возвращается от клиента мне и подписываю его со стороны банка я.

                                  Комментарий


                                  • #18
                                    Сообщение от Berckut Посмотреть сообщение
                                    - кто будет выдавать смарт-карты (особенно вести учёт) во время отпуска работника и, главное, расписываться акте?
                                    А в 313 где-нибудь указано, что именно "2) инженерно-технический работник (образование)" должен осуществлять лицензируемую деятельность?

                                    Комментарий


                                    • #19
                                      Сообщение от yuyup Посмотреть сообщение
                                      А в 313 где-нибудь указано, что именно "2) инженерно-технический работник (образование)" должен осуществлять лицензируемую деятельность?
                                      В 152-й инструкции ФАПСИ, которая должна быть взята за основу при разработке своих лональных нормальных документов сказано, что это должен делать сотрудник органа критографической защиты. Да и практика показывает, то иначе себе дороже.

                                      Комментарий


                                      • #20
                                        Сообщение от Berckut Посмотреть сообщение
                                        В 152-й инструкции ФАПСИ, которая должна быть взята за основу при разработке своих лональных нормальных документов сказано, что это должен делать сотрудник органа критографической защиты. Да и практика показывает, то иначе себе дороже.
                                        +1. У представителей ФСБ при проверках такое же мнение.

                                        Комментарий


                                        • #21
                                          Рассматриваем вопрос о переходе на Фактуру.

                                          На сегодняшний день, схема работы, описанная уважаемым Berckut-ом, актуальна?
                                          Возникшие вопросы:
                                          - клиент в филиале получает не сам носитель, а пакет с контролем вскрытия, где находится носитель? Далее клиент открывает его, сверяет номер носителя c актом, подписывает акт?
                                          -требования о таком способе передачи носителей основаны на п.33-34 приказа 152 ФАПСИ?
                                          - как организовать передачу 100 носителей в филиал? если передать все в одном пакете, как потом выдавать клиенту?

                                          Комментарий


                                          • #22
                                            Сообщение от Hedin333 Посмотреть сообщение
                                            Рассматриваем вопрос о переходе на Фактуру.

                                            На сегодняшний день, схема работы, описанная уважаемым Berckut-ом, актуальна?
                                            Возникшие вопросы:
                                            - клиент в филиале получает не сам носитель, а пакет с контролем вскрытия, где находится носитель? Далее клиент открывает его, сверяет номер носителя c актом, подписывает акт?
                                            -требования о таком способе передачи носителей основаны на п.33-34 приказа 152 ФАПСИ?
                                            - как организовать передачу 100 носителей в филиал? если передать все в одном пакете, как потом выдавать клиенту?
                                            Да, только в смарт-картам MS_Key добавились ещё Рутокен ЭЦП. Планируем переходить на них. Есть только один минус с ними: использовать в Фактуре можно только те токены, которые приобретены у ЦФТ. На купленном на стороне токене не получится сформировать запрос на сертификат.
                                            По вопросам:
                                            - да;
                                            - и это тоже, но больше из-за того, что выдачу осуществлять может только "сотрудник органа криптографической защиты". Если смарт-карта передаётся в пакете, то можно говорить, что работник доп. офиса выступает только в роли курьера, т.к. не имеет доступа к смарт-карте, а выдачу осуществил именно работник службы ИБ. В акте, стороны банка, именно его подпись стоит;
                                            - каждая смарт-карта в отдельном пакете. Но вообще, если разговор идёт именно о филиале, а не о доп. офисе, то там правильнее сформировать службу ИБ, которая и будет выдачать смарт-карты. Тем более, что по требованиям 382-П такая служба в филиале должна быть сформирована.

                                            Комментарий


                                            • #23
                                              Сообщение от Berckut Посмотреть сообщение
                                              Да, только в смарт-картам MS_Key добавились ещё Рутокен ЭЦП. Планируем переходить на них. Есть только один минус с ними: использовать в Фактуре можно только те токены, которые приобретены у ЦФТ. На купленном на стороне токене не получится сформировать запрос на сертификат.
                                              По вопросам:
                                              - да;
                                              - и это тоже, но больше из-за того, что выдачу осуществлять может только "сотрудник органа криптографической защиты". Если смарт-карта передаётся в пакете, то можно говорить, что работник доп. офиса выступает только в роли курьера, т.к. не имеет доступа к смарт-карте, а выдачу осуществил именно работник службы ИБ. В акте, стороны банка, именно его подпись стоит;
                                              - каждая смарт-карта в отдельном пакете. Но вообще, если разговор идёт именно о филиале, а не о доп. офисе, то там правильнее сформировать службу ИБ, которая и будет выдачать смарт-карты. Тем более, что по требованиям 382-П такая служба в филиале должна быть сформирована.
                                              Спасибо за ответы.

                                              В филиалах назначены ответственные за обеспечение информационной безопасности, но по образованию они не подходят под требования, поэтому придется остановиться на схеме с пакетами.

                                              Комментарий


                                              • #24
                                                Сообщение от Berckut Посмотреть сообщение
                                                Акт на выдачу возвращается от клиента мне и подписываю его со стороны банка я.
                                                А не проще акт подписать сразу? И отправить вместе с СКЗИ в секюрепаке?

                                                Комментарий


                                                • #25
                                                  Сообщение от Berckut Посмотреть сообщение
                                                  - и это тоже, но больше из-за того, что выдачу осуществлять может только "сотрудник органа криптографической защиты". Если смарт-карта передаётся в пакете, то можно говорить, что работник доп. офиса выступает только в роли курьера, т.к. не имеет доступа к смарт-карте, а выдачу осуществил именно работник службы ИБ. В акте, стороны банка, именно его подпись стоит;
                                                  Любимая инструкция: "32. СКЗИ и ключевые документы могут доставляться фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа сотрудников органа криптографической защиты или пользователей СКЗИ, для которых они предназначены, при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки".
                                                  Растолкуйте кто здесь курьер при условии, что от клиента приходит не пользователь СКЗИ, а по доверенности его сотрудник (сами босы редко в Банки являются), а пакет передаёт операционист в Банке.

                                                  Сообщение от Berckut Посмотреть сообщение
                                                  - каждая смарт-карта в отдельном пакете. Но вообще, если разговор идёт именно о филиале, а не о доп. офисе, то там правильнее сформировать службу ИБ, которая и будет выдачать смарт-карты. Тем более, что по требованиям 382-П такая служба в филиале должна быть сформирована.
                                                  Это потребует лицензирование деятельности в филиале? Или вы просто о функции курьера сейчас?

                                                  P.S. Когда, наконец, найдётся нормальный человек и приведёт в порядок ситуацию со 152м приказом? (((

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Zuz Посмотреть сообщение
                                                    А не проще акт подписать сразу? И отправить вместе с СКЗИ в секюрепаке?
                                                    Так и делаю.

                                                    Сообщение от Zuz Посмотреть сообщение
                                                    Растолкуйте кто здесь курьер при условии, что от клиента приходит не пользователь СКЗИ, а по доверенности его сотрудник (сами босы редко в Банки являются), а пакет передаёт операционист в Банке.
                                                    У нас такая схема работы прошла при проверке. Возможно, проверяющие в тонкости не вникали.

                                                    Сообщение от Zuz Посмотреть сообщение
                                                    Это потребует лицензирование деятельности в филиале? Или вы просто о функции курьера сейчас?
                                                    На сколько я знаю, лицензию головы можно распространять на филиалы (об этом должно быть указано в лицензии).
                                                    Вообще, у нас нет филиалов - мы чисто региональный банк.

                                                    Комментарий


                                                    • #27
                                                      Добрый день!

                                                      Также рассматриваем переход на клиент-Банк от Фактуры.

                                                      Возникает вопрос:

                                                      Как формально обеспечить соблюдение "банковской тайны" при обмене электронными документами, в соответствии с требованиями ст.26 закона "О банках и банковской деятельности" и ст.857 ГК РФ?
                                                      Сообщения Клиентов содержат требования на изменение банковского счета,сообщения Банка - выписки, и то и другое попадает под БТ.
                                                      Как в данном случае обеспечить требования нормативных документов, если в Фактуре не считают себя субъектами платежной системы/инфраструктуры?

                                                      Комментарий


                                                      • #28
                                                        Не рассматривайте Фактуру, как систему Интернет-банкинга. Рассматривайте Фактуру, как систему электронного документооборота.
                                                        Вы не подключаете клиента в систему интернет-банкинга. Вы делаете клиента участником сервиса Фактура и договариваетесь с ним, что будете использовать систему для обмена документами между вами в рамках предоставления услуг дистанционного банковского обслуживания.

                                                        Комментарий


                                                        • #29
                                                          Спасибо.
                                                          А как доказать, что в документах передаваемых по системе электронного документооборота не содержится БТ? и что Фактура как третья сторона не имеет доступа к сведениям составляющим БТ.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от kvi Посмотреть сообщение
                                                            Спасибо.
                                                            А как доказать, что в документах передаваемых по системе электронного документооборота не содержится БТ? и что Фактура как третья сторона не имеет доступа к сведениям составляющим БТ.
                                                            Можно прямо об этом сказать
                                                            Банк и Клиент осуществляют обмен электронными документами в рамках настоящего дополнительного соглашения с использованием Сервиса «FAKTURA.RU» (сайт http://faktura.ru) в порядке и на условиях, определённых Правилами Сервиса «FAKTURA.RU», расположенными в сети Интернет по адресу http://service.cft.ru/.
                                                            Клиент признает, что обмен электронными документами, осуществляемый с использованием Сервиса "FAKTURA.RU", не является нарушением банковской тайны.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X