безопасность применения платежных систем законодательство и практика
Безопасность применения платежных систем законодательство и практика
Статья 27. Обеспечение защиты информации в платежной системе
1. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, поставщики платежных приложений, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации. Правительство Российской Федерации устанавливает требования к защите указанной информации.
(в ред. Федеральных законов от 03.07.2019 N 173-ФЗ, от 02.08.2019 N 264-ФЗ)
(см. текст в предыдущей редакции)
С 01.12.2021 ст. 27 дополняется ч. 1.1 (ФЗ от 01.07.2021 N 250-ФЗ). См. будущую редакцию.
2. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с защищаемой информацией.
3. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, поставщики платежных приложений, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России, согласованными с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи. Контроль за соблюдением установленных требований осуществляется Банком России в рамках надзора в национальной платежной системе в установленном им порядке, согласованном с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи.
(в ред. Федеральных законов от 03.07.2019 N 173-ФЗ, от 02.08.2019 N 264-ФЗ)
(см. текст в предыдущей редакции)
4. Операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны реализовывать мероприятия по противодействию осуществлению переводов денежных средств без согласия клиента в порядке, установленном Банком России.
(часть 4 введена Федеральным законом от 27.06.2018 N 167-ФЗ)
5. В целях обеспечения защиты информации при осуществлении переводов денежных средств Банк России осуществляет формирование и ведение базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.
(часть 5 введена Федеральным законом от 27.06.2018 N 167-ФЗ)
6. Операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны направлять в Банк России информацию обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента по форме и в порядке, которые установлены Банком России.
(часть 6 введена Федеральным законом от 27.06.2018 N 167-ФЗ)
7. Операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры вправе получать от Банка России по форме и в порядке, которые им установлены, информацию, содержащуюся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.
(часть 7 введена Федеральным законом от 27.06.2018 N 167-ФЗ)
Юридические аспекты обеспечения безопасности в электронных платежных системах
Правовой аспект защиты информации в электронных платежных системах (ЭПС) важен как с точки зрения возможности применения тех или иных технологий для обеспечения функционирования ЭПС, так и с точки зрения правомерности применения тех или иных методов обеспечения безопасности транзакций.
При этом электронная коммерция охватывает отношения, осуществляемые с использованием Интернета. К подобным услугам относятся[EMV ICC Specification for Payment Systems.]:
В настоящее время об Интернете все чаще говорят как о новом информационно-социальном пространстве, где формируется своя нормативная система регулирования и требуется выработка особой концепции правового регулирования[ISO/IEC 4909. «Идентификационные карты. Содержание данных 3-й дорожки магнитной полосы».].
Вопрос о юридической силе сделок связывается с условиями, при которых государство признает ту или иную сделку порождающей соответствующие ей правовые последствия. Такими условиями по действующему законодательству являются:
8 июня 2000 г. вступила в силу Директива Европейского Союза № 2000/31/EC о некоторых правовых аспектах услуг информационного общества, в частности электронной коммерции, на внутреннем рынке. Еще одна Директива Европейского Союза № 2002/65/EC от 23 сентября 2002 г. регулирует деятельность в дистанционном маркетинге потребительских финансовых услуг (см. Приложение 2).
Таким образом, Европейский Союз (ЕС) делает необходимые шаги к установлению правомерных отношений в электронных платежных системах.
В России для того, чтобы обозначить правовую норму, которая бы распространялась на электронную коммерцию, необходимо прежде всего решить ряд юридических проблем, связанных с существующим законодательством.
В настоящее время, например, существует Положение ЦБ РФ № 23-П «О порядке эмиссии кредитными организациями банковских карт и осуществления расчетов по операциям, совершаемым с их использованием», позволяющее совершать торговые операции через Интернет с оплатой товаров с помощью пластиковой карточки[ISO/IEC 7811. «Идентификационные карты. Способ записи».] (см. Приложение 4).
Положение ЦБ РФ № 23-П не предусматривает того, что нарушение формы документа по операциям с использованием банковских карт влечет его недействительность, равно как и не предусматривает иные последствия такого нарушения. Следовательно, их нужно искать в общегражданском законодательстве[ISO/IEC 7813. «Идентификационные карты. Банковские карты».].
Приведем еще один пример того, как расхождения могут препятствовать однозначному толкованию правовой базы.
До 1 января 2001 г. в законодательстве Российской Федерации существовал юридический казус, связанный с тем, что в соответствии с Федеральным законом от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности» операции с пластиковыми карточками не отнесены к банковским, а значит, могут подпадать под налогообложение.
Поэтому товары заказчику рекомендуется посылать заказным почтовым отправлением и сохранять подписанные им квитанции о доставке в течение некоторого времени. Только в таком случае можно выиграть спор либо в арбитражном суде платежной системы, либо в общегражданском суде[ISO/IEC 14443. «Идентификационные карты. Бесконтактные карты на интегральных схемах с контактами. Карты бесконтактного считывания».].
Ситуация меняется при применении протоколов электронной коммерции, использующих аналоги собственноручной подписи (например, SET ). Применение аналогов собственноручной подписи при совершении операций через Интернет приведет эти операции в соответствие с требованиями действующего законодательства.
В этом плане несомненным достижением является принятие закона об электронной цифровой подписи (см. Приложение 3).
Любая модель платежей в Интернете является специфической формой безналичных расчетов, которая может быть принципиально новой или соответствовать уже существующим формам.
В соответствии с п. 1 статьи 862 ГК РФ форма безналичных расчетов считается законной, если она либо предусмотрена законом и установленными в соответствии с ним банковскими правилами, либо подпадает под категорию «применяемого в банковской практике обычая делового оборота». Приведенные критерии являются слишком общими, в каждом конкретном случае может быть трудно установить наличие или отсутствие обычая делового оборота. В этом случае практика большое значение придает закреплению потенциального обычая в актах отечественных и особенно международных торговых палат и иных авторитетных в данной области организаций[ISO/IEC 15693. «Идентификационные карты. Бесконтактные карты на интегральных схемах с контактами. Карты с радиосвязью».].
Поскольку, как об этом говорилось ранее, электронные расчеты возможны только через кредитные учреждения, то они должны иметь соответствующую банковскую лицензию, как это определено законом о банках и банковской деятельности и нормативными актами ЦБ РФ. В случае использования моделей, основанных на логике ценных бумаг, что в соответствии с ч. 1 п. 1 ст. 149 ГК РФ будет считаться бездокументарной ценной бумагой, возникает необходимость получения дополнительно специальной лицензии, дающей право на электронную фиксацию прав, закрепляемых ценной бумагой. Также следует заметить, что электронная фиксация прав, закрепляемых ценной бумагой, возможна только в случаях, определенных законом, или в установленном им порядке[ RFC 3749. Transport Layer Security Protocol Compression Methods.].
В связи с вышеизложенным возникает необходимость внесения изменений в законодательство. Без создания инфраструктуры центров сертификации невозможно построить систему электронных платежей, обеспечивающую необходимый уровень безопасности электронных покупок. Вот почему так важно принятие закона об электронно-цифровой подписи ( ЭЦП )[ RFC 4120. The Kerberos Network Authentication Service (V5).] (см. Приложение 3).
Информационная безопасность банковских безналичных платежей. Часть 7 — Базовая модель угроз
В данной статье представлена базовая модель угроз информационной безопасности банковских безналичных переводов, осуществляемых через платежную систему Банка России.
Угрозы, представленные здесь, справедливы практически для любого банка в Российской Федерации, а также для любых других организаций, использующих для осуществления расчетов толстые клиенты с криптографическим подтверждением платежей.
Настоящая модель угроз предназначена для обеспечения практической безопасности и формирования внутренней документации банков в соответствии с требованиями Положений Банка России № 552-П от 24 августа 2016 г. и № 382-П от 9 июня 2012 г.
Применение сведений из статьи в противоправных целях преследуется по закону.
Методика моделирования
Структура модели угроз
Одним из наиболее удачных на сегодняшний день способов моделирования компьютерных атак является Kill chain. Данный способ представляет компьютерную атаку как последовательность этапов, выполняемую злоумышленниками для достижения поставленных ими целей.
Описание большинства этапов приведено в MITRE ATT&CK Matrix, но в ней нет расшифровки конечных действий — «Actions» (последнего этапа Kill chain), ради которых злоумышленники осуществляли атаку и которые, по сути, и являются кражей денег у банка. Другой проблемой применения классического Kill chain для моделирования угроз является отсутствие в нем описания угроз, связанных с доступностью.
Данная модель угроз призвана компенсировать эти недостатки. Для этого она формально будет состоять из двух частей:
Методика формирования модели угроз
Основными требованиями к создаваемой модели угроз были:
Порядок применения данной модели угроз к реальным объектам
Применение данной модели угроз к реальным объектам следует начинать с уточнения описания информационной инфраструктуры, а затем, в случае необходимости, провести более детальную декомпозицию угроз.
Порядок актуализации угроз, описанных в модели, следует проводить в соответствии с внутренними документами организации. В случае отсутствия таких документов их можно разработать на базе методик, рассмотренных в предыдущей статье исследования.
Особенности оформления модели угроз
В данной модели угроз приняты следующие правила оформления:
Базовая модель угроз информационной безопасности банковских безналичных платежей
Объект защиты, для которого применяется модель угроз (scope)
Область действия настоящей модели угроз распространяется на процесс безналичных переводов денежных средств через платежную систему Банка России.
Архитектура
В зону действия модели входит следующая информационная инфраструктура:
«Участок платежной системы Банка России (ПС БР)» — участок информационной инфраструктуры, подпадающий под действие требований Положения Банка России от 24 августа 2016 г. № 552-П. Критерий отнесения информационной инфраструктуры к участку ПС БР — обработка на объектах информационной инфраструктуры электронных сообщений в формате УФЭБС.
«Канал передачи электронных сообщений» включает в себя канал связи банка с ЦБ РФ, построенный через специализированного оператора связи или модемное соединение, а так же механизм обмена электронными сообщениями, функционирующий с помощью курьера и отчуждаемых машинных носителей информации (ОМНИ).
Перечень помещений, входящих в зону действия модели угроз, определяется по критерию наличия в них объектов информационной инфраструктуры, участвующих в осуществлении переводов денежных средств.
Ограничения модели
Настоящая модель угроз распространяется только на вариант организации платежной инфраструктуры с АРМ КБР, совмещающим в себе функции шифрования и электронной подписи, и не рассматривает случая использования АРМ КБР-Н, где электронная подпись осуществляется «на стороне АБС».
Угрозы безопасности верхнего уровня
У1. Прекращение функционирования системы безналичных переводов.
У2. Кража денежных средств в процессе функционирования системы безналичных переводов.
У1. Прекращение функционирования системы безналичных переводов
Потенциальный ущерб от реализации данной угрозы можно оценить на основании следующих предпосылок:
При декомпозиции данной угрозы учитывались следующие документы:
У2. Кража денежных средств в процессе функционирования системы безналичных переводов
Кража денежных средств в процессе функционирования системы безналичных переводов представляет собой кражу безналичных денежных средств с их последующим или одновременным выводом из банка-жертвы.
Кража безналичных денежных средств представляет собой несанкционированное изменение остатка на счете клиента или банка. Данные изменения могут произойти в результате:
Нештатное изменение остатка на счете, как правило, сопровождается штатными операциями по расходованию украденных денежных средств. К подобным операциям можно отнести:
Формирование поддельных распоряжений о переводе денежных средств может производиться как по вине клиентов, так и по вине банка. В настоящей модели угроз будут рассмотрены только угрозы, находящиеся в зоне ответственности банка. В качестве распоряжений о переводах денежных средств в данной модели будут рассматриваться только платежные поручения.
В общем случае можно считать, что обработка банком внутрибанковских переводов является частным случаем обработки межбанковских переводов, поэтому для сохранения компактности модели далее будут рассматривать только межбанковские переводы.
Кража безналичных денежных средств может производиться как при исполнении исходящих платежных поручений, так и при исполнении входящих платежных поручений. При этом исходящим платежным поручением будем называть платежное поручение, направляемое банком в платежную систему Банка России, а входящим будем называть платежное поручение, поступающие в банк из платежной системы Банка России.
У2.1. Исполнение банком поддельных исходящих платежных поручений.
У2.2. Исполнение банком поддельных входящий платежных поручений.
У2.3. Нештатное изменение остатков на счете.
У2.1. Исполнение банком поддельных исходящих платежных поручений
Основной причиной, из-за которой банк может исполнить поддельное платежное поручение является его внедрение злоумышленниками в бизнес-процесс обработки платежей.
У2.1.1. Внедрение злоумышленниками поддельного исходящего платежного поручения в бизнес-процесс обработки платежей.
У2.1.1. Внедрение злоумышленниками поддельного исходящего платежного поручения в бизнес-процесс обработки платежей
Декомпозиция данной угрозы будет производиться по элементам информационной инфраструктуры, в которых может произойти внедрение поддельного платежного поручения.
| Элементы | Декомпозиция угрозы «У2.1.1. Внедрение злоумышленниками поддельного исходящего платежного поручения в бизнес-процесс обработки платежей» |
| Операционист банка | У2.1.1.1. |
| Сервер ДБО | У2.1.1.2. |
| Модуль интеграции ДБО-АБС | У2.1.1.3. |
| АБС | У2.1.1.4. |
| Модуль интеграции АБС-КБР | У2.1.1.5. |
| АРМ КБР | У2.1.1.6. |
| Модуль интеграции КБР-УТА | У2.1.1.7. |
| УТА | У2.1.1.8. |
| Канал передачи электронных сообщений | У2.1.1.9. |
Декомпозиция
У2.1.1.1. в элементе «Операционист банка»
Операционист при приеме бумажного платежного поручения от клиента заносит на его основании электронный документ в АБС. Подавляющее большинство современных АБС основано на архитектуре клиент-сервер, что позволяет произвести анализ данной угрозы на базе типовой модели угроз клиент-серверных информационных систем.
У2.1.1.1.1. Операционист банка принял от злоумышленника, представившегося клиентом банка, поддельное платежное поручение на бумажном носителе.
У2.1.1.1.2. От имени операциониста банка в АБС внесено поддельное электронное платежное поручение.
У2.1.1.1.2.1. Операционист действовал по злому умыслу или совершил непреднамеренную ошибку.
У2.1.1.1.2.2. От имени операциониста действовали злоумышленники:
У2.1.1.1.2.2.1. Ссылка: «Типовая модель угроз. Информационная система, построенная на базе архитектуры клиент-сервер. У1. Совершение злоумышленниками несанкционированных действий от имени легитимного пользователя».
Примечание. Типовые модели угроз будут рассмотрены в следующих статьях.
Информационная безопасность электронных платежных систем
Защита данных
на базе системы
В опросы безопасности электронных платежных систем являются сложной задачей для финансового сектора и регуляторов. Существуют две серьезные проблемы – несанкционированные списания средств с банковских карт или счетов юридических лиц и общая гарантия сохранности платежей, совершаемых через небанковские системы переводы платежей. Принимаемые в последние годы меры смогли сделать электронные переводы более безопасными.
Как работает ЭПС
Под термином «электронная платежная система» (ЭПС) понимается система расчетов, при которой платежи проводятся по интернет-каналам, традиционной обработки платежных поручений не происходит.
Под это определение попадают:
В Банке России организовано несколько моделей платежей по Интернету. Это программа внутрирегиональных расчетов по сети Интернет (ВЭР) и межрегиональных электронных расчетов (МЭР). Для крупных срочных платежей в России в 2007 году создана идеология банковских срочных платежей (БЭСП). Она является аналогом европейской программы RTGS. Подключенные к ней банки переводят друг другу крупные суммы с целью перечисления клиентам в течение одного операционного дня.
Информационная безопасность электронных платежных систем обеспечивается требованиями, предъявляемыми к банкам-участникам:
Требования формулируются в Положениях Банка России и являются обязательными для исполнения. Отказ от выполнения требований может привести к полному или частичному отключению банка от технологии БЭСП.
Общие принципы ИБ механизмов дистанционных переводов
Если говорить об защите от несанкционированных переводов ЭПС в общем, то вне зависимости от уровня каждой конкретной модели к ним действуют единообразные требования.
Среди наиболее уязвимых мест:
Наличие этих уязвимостей вынуждает банки и операторов обеспечивать защиту трафика при пересылке доступными способами (передача по защищенным каналам, шифрование) и разрабатывать модели аутентификации отправителя и получателя средств.
При этом в работе банка или оператора платежей возникают проблемы:
Банк и оператор ЭПС обязаны реализовать механизмы защиты клиентов от несанкционированных списаний денежных средств, конкретные требования к которым определяются политиками операторов и регламентами ЦБ РФ:
Для осуществления платежей посредством банковских карт международные системы переводов применяют собственные меры ИБ межкарточных переводов, корреспондирующие с требованиями Банка России. Для иных операторов безбумажных платежей, совершающих более 6 миллионов переводов в год, работает программа сертификации Qualified Security Assessor (QSA).
В России работают представительства нескольких организаций, имеющих право на выдачу сертификата, и он будет предоставлен, если оператор соответствует следующим требованиям:
Стандарт защиты информации в индустрии платежных карт PCI DSS был разработан международными операторами платежных карт Visa и MasterCard. В него входит 12 детально описанных требований, согласно которым должна обеспечиваться защита платежных систем.
Рекомендации ЦБ РФ
В последние годы ЦБ РФ от рекомендаций организациям финансового сектора по обеспечению защиты денежной системы перешел к непререкаемым требованиям, обязательным для выполнения и сопровождающимся внесением изменений в законы и подзаконные нормативные акты. Теперь информацию о каждой зафиксированной хакерской атаке и о том, что она готовится, он должен получать в течение трех часов.
Сведения необходимо передавать в FinCERT (Центр мониторинга и реагирования на компьютерные атаки в финансовой сфере, подразделение ЦБР). Передаются все данные, связанные с покушением на совершение несанкционированного перевода денежных средств со счетов компаний и физических лиц. Большинство банков и организаций финансового сектора уже подключены к системе горячего реагирования ФинЦЕРТ, если этого не произошло, сведения направляются по e-mail, без гарантии его своевременного прочтения и регистрации. С этим связаны сложности: такое сообщение обязательно должно быть подписано ЭП, но, если киберпреступникам удалось разрушить важный сектор многоэшелонированной защиты банка, удостоверить сообщение ЭЦП окажется сложно.
В стандарте обеспечения информационной безопасности электронных платежных систем ЦБ РФ закрепил несколько обязательных требований:
Интересно, что регулятор не требует от банка обязательного информирования о DDoS-атаках и других ситуациях, касающихся защиты системы обработки платежей самого финансового учреждения. Но все рекомендации, связанные с защитой от несанкционированных переводов и вмешательством в работу ЭПС любого уровня, как национального, так и международного, должны выполняться неукоснительно. Банки заявили после выхода рекомендаций о глобальном изменении правил игры, ранее они не сообщали о хакерских атаках по двум причинам:
Сейчас меры воздействия на банки за отказ от соблюдения требований регулятора более жесткие, чем просто штрафы. Одна из них отключение финансовой организации-нарушителя от системы банковских срочных платежей (БЭСП). Размер штрафа, согласно ст. 74 Закона «О Центральном Банке», может составить до 1 % от уставного капитала банка. Например, размер штрафа для такого финансового учреждения, как Сбербанк, может составить 670 миллионов рублей.
Положение 672-П
В рамках регулирования деятельности банков по обеспечению безопасности для клиентов электронных платежных систем Банком России в апреле 2019 года издано Положение № 672-П «О требованиях к защите информации в платежной системе Банка России». Основным посылом сообщения стала обязанность банков к середине 2021 года полностью выполнить требования ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций». Проверка выполнения действий этого и предыдущего Постановления № 552-П происходит во время проведения ежегодных аудиторских проверок и проверок ЦБР, а дополнительной гарантией соблюдения требований становится включение их в качестве обязательств кредитной организации в ее договор с Банком России.
Помимо требований к обеспечению информационной безопасности электронных платежных систем, Стандарт содержит требования по обеспечению защиты данных, пересылаемых в рамках программы передачи финансовых сообщений (СПФС).
Требования ГОСТа касаются защиты двух механизмов отправления платежей:
Сформулированы требования к размещению объектов информационной инфраструктуры при осуществлении переводов денежных средств. Необходимо использовать разные сегменты сети и АРМ для организации формирования электронных сообщений о переводе средств и для контроля реквизитов этих сообщений. Кроме того, нужно следующее:
Каждый участник системы переводов в целях обеспечения защиты электронных платежных систем обязан принять пакет внутренней организационно-распорядительной документации, описывающий:
Нормы Постановления обязывают банки усилить внимание к собственным пробелам системы защиты, отказаться от самостоятельно разработанного программного обеспечения и перейти на единую системную концепцию безопасности платежей.
Яндекс.Деньги и другие платежные системы
Российские пользователи электронного кошелька Яндекс.Деньги часто интересуются, как именно устроены меры защиты платежей в ней. Платежный сервис использует следующие алгоритмы защиты:
В качестве одного из дополнительных решений введен код протекции, только при знании его получатель может забрать перевод, совершенный через оператора. Это позволяет избежать риска фишинга и отправки платежей неподтвержденным получателям.
Платежные приложения
Отдельным вопросом безопасности электронных платежных систем становится защита платежных приложений, таких как Apple Pay и Samsung Pay. ЦБ РФ, вводя регулирующие правила для иностранных операторов, часто входит в конфликт с уже разработанными и действующими нормами безопасности, чем может затруднить доступ российских граждан к этим ресурсам. Но своевременная реакция профессионального сообщества помогла внести изменения в новые регуляторные требования, и сервисы остались доступными для российских граждан.
Создаваемая система быстрых платежей (СБП), начало действия которой приходится на 28 января 2019 года, позволяющая отправлять деньги по номеру телефона, также имеет свои правила безопасности, утверждаемые регулятором. Для подключения к СБП от кредитных и финансовых организаций требуется:
Сейчас в СБП уже зарегистрировалось более 30 участников, среди них 10 крупнейших банков страны. За промедление в подключении к СБП Сбербанк был оштрафован на 1 миллион рублей, что стало важным индикатором для других участников рынка. Центробанк предупредил операторов платежей о существовании рисков атаки с целью сбора персональных данных клиентов. В письме, разосланном банкам, сообщается, что основным направлением атаки стал «автоматизированный или ручной процесс сбора информации о клиентах банков – участников СБП. Злоумышленник, используя имеющиеся данные идентификатора клиента (номер его мобильного телефона), теперь может получить дополнительную информацию об этом человеке, например, имя, отчество и первую букву фамилии, а также названия нескольких банков, где у него есть открытые счета». Полученные номера телефонов злоумышленники могут использовать для организации массовых звонков клиентам банков с целью получения паролей от личных кабинетов и других данных.
Центробанк предлагает следующий механизм борьбы с угрозой: Национальная система платежных карт, являющаяся операционно-клиринговым центром СБП, проводит круглосуточный мониторинг операций и блокирует в системе номера подозрительных телефонов, с которых осуществляется массовый перебор. Помимо блокировки номеров ЦБ будет сообщать банкам об IP-адресах, с которых пытался осуществляться массовый перебор.
От принципа работы платежной системы и модели угроз зависят и способы защиты. Реализация рекомендуемых регулятором мер безопасности должна привести к повышению защищенности электронных платежей, снижению количества несанкционированных финансовых трансакций и списаний с банковских карт. Безопасность средств граждан целиком и полностью зависит от готовности банков и операторов выполнять требования регуляторов.