Отвечать на вызовы и использовать возможности новых технологий – трудоемкая задача и на локальном, и, тем более, на глобальном рынке, с которой приходится сталкиваться индустрии мобильных платежей. Учитывая невероятную скорость, с которой инновации атакуют рынок, не удивительно, что профессионалы отрасли фокусируются прежде всего на технологических аспектах и их возможном воздействии на будущее рынка. Однако здесь скрыта огромная опасность, утверждает Эндрю Черчилл (Andrew Churchill), консультант в области безопасности для предприятий и госорганов, секретарь MIDAS Alliance и один из авторов готовящегося стандарта Британского института стандартизации (BSI) в области идентификации и аутентификации.
Революция в регулировании
Регуляторный ландшафт, в котором необходимо функционировать новыми технологиям, тихо и незаметно трансформировавшийся последние годы, претерпел существенные изменения. Пару лет назад мы знали о защите данных, правилах «знай своего клиента», строгой аутентификации. Это были вполне однозначные требования, которые нужно было неукоснительно соблюдать. Нынешний пересмотр регулирования и введение новых понятий в области безопасности застали отрасль в некотором роде врасплох. Обилие (порой противоречащих друг другу) требований ставит в тупик.
Это справедливо как для Европы, так и, если взглянуть, чем заняты четыре рабочие группы «Safer and Faster Payments task forces» Федерального резерва США, для мира в целом. Каждая из групп решает свои задачи - управление идентификацией, предотвращение мошенничества, защита данных, координация законодательных актов и регуляторных требований. Участники групп признают, что порой их приоритеты противоречат друг другу.
И именно четвертая задача – координация законодательства и регулирования – является главным источником беспокойства для индустрии. И именно четвертая задача – координация законодательства и регулирования – является главным источником беспокойства для индустрии. Имеет ли первостепенное значение защита данных идентификации клиентов, как того требуют Общие требования по защите данных (EU GDPR), либо более важно обеспечить доступ к этим данным провайдеров, являющихся третьей стороной, как настаивает PSD2? Как требования антиотмывочного законодательства должны сочетаться с соблюдением права на анонимность в интернете? И так далее.
Соблюдение правильного баланса
Верный баланс регулирования является критическим моментом для продвижения инноваций внутри и между странами и в потребительских сегментах. Для этого нужно понимание не только того, что участники действуют в установленных нормативных рамках, но и того, как они взаимодействуют друг с другом.
Следующим потенциальным источником сложности является тот факт, что законодательные акты в Европе выходят как в форме «предписаний» (directives), так и в форме «регламентов» (regulations), разнице между которыми не все придают значение. Регламенты нацелены на гармонизацию требований для всех 28 стран-членов ЕС. Предписания же обозначают те меры, которые должны найти индивидуальное отражение в национальных законодательствах стран, что в потенции может привести к 28 разным интерпретациям одного и того же предписания.
Очевидно, эта угроза имеет актуальность для трансграничных транзакций, в которых задействованы страны с разной интерпретацией требований. Или где установлен иной баланс приоритетов между предписаниями и регламентами.
Рассогласованность в интерпретации стандартов может приводить к судебной неразберихе, как было в случае с соглашением о «зоне безопасности» (Safe Harbour agreement). В октябре 2015 года Европейский суд признал соглашение, позволяющее передавать данные между ЕС и США, неправомочным. Это поставило под сомнение правовой статус данных о гражданах Евросоюза, хранимых компаниями из США или на серверах на территории США. Срочные шаги Еврокомиссии по исправлению этой ситуации с помощью EU-US Privacy Shield, предназначенного для усиленной защиты передаваемых через океан данных, вероятно могут привести к ожидаемому результату. Но даже в этом случае сохраняются опасения, что суд запретит и это решение.
Разработка стандартов
Когда стандарты уже приняты, они могут давать четкое понимание требований, к соблюдению которых принуждает индустрию регулятор. Во время же разработки стандарты могут стать ценным способом организации диалога по достижению подобного понимания – как с точки зрения прояснение ожиданий со стороны регуляторов в отношении индустрии, так и с точки зрения углубления понимания позиции индустрии в отношении регулирования.
В отношении стандартов в области идентификации и аутентификации, разрабатываемых в настоящий момент Британским институтом стандартизации и Ассоциацией MIDAS Alliance, для того, чтобы обеспечить понимание, насколько эти стандарты соотносятся с вопросами защиты данных в платежной и мобильной индустрии, ведется разработка общественно доступных спецификаций, к работе над которыми привлекаются все заинтересованные стороны.