Банкам, биржам и другим финансовым организациям могут разрешить использовать аутсорсинг IТ и облачных услуг. Соответствующий законопроект подготовили в комитете Госдумы по финансовому рынку.
Банки пользуются IТ-аутсорсингом и сейчас, но некоторые из них опасаются прибегать к помощи поставщиков из-за юридических рисков нарушений банковской тайны. Кроме того, сейчас банки обязаны хранить информацию только на собственной инфраструктуре, однако из-за проблем с поставками «железа» они не могут расширять собственную инфраструктуру, считают эксперты
Комитет Госдумы по финансовому рынку предложил разрешить банкам пользоваться аутсорсингом IТ и облачных услуг. Это следует из письма главы комитета Анатолия Аксакова к главе Минцифры Максуту Шадаеву, которое он направил 30 августа (копия письма есть у Forbes). К тексту письма он прикрепил рабочую версию соответствующего законопроекта и попросил ведомство предоставить свои замечания до 14 сентября. Представитель Минцифры подтвердил получение письма, уточнив, что оно находится на рассмотрении. Анатолий Аксаков не ответил на запрос Forbes.
Финансовые организации смогут поручать аутсорсинговым компаниям хранить и обрабатывать полученную от них информацию без согласия людей, к которым относятся эти сведения, говорится в документе. Это право получат банки и микрофинансовые организации, биржи, брокеры и дилеры, негосударственные пенсионные фонды, кредитные рейтинговые агентства, ломбарды, а также страховые и аудиторские компании. Как сообщается в законопроекте, Центробанк будет вправе установить для них требования к привлечению аутсорсинговых компаний.
Такие изменения законодательства помогут обеспечить стабильность финансового сектора и непрерывность деятельности финансовых организаций при возникновении нештатных ситуаций, в частности при «нарушении глобальной цепочки поставок оборудования для финансовых организаций», сообщается в пояснительной записке к законопроекту. В ней также указано, что привлечение поставщиков аутсорсинга IТ и облачных услуг необходимо организациям, которые не могут самостоятельно наращивать внутренние компетенции в сфере IТ и информационной безопасности. Согласно документу, это позволит таким компаниям оптимизировать затраты на собственную инфраструктуру и сохранить конкурентоспособность.
Аутсорсинговые компании будут обязаны соблюдать конфиденциальность данных и режимы защиты информации, включая банковскую и аудиторскую тайну, указано в законопроекте. При этом в нем не уточняется, о каких именно IТ-услугах идет речь, кроме облачных.
Минфин поддержал текст законопроекта, однако, по мнению ведомства, работу аудиторских организаций с аутсорсинговыми компаниями необходимо урегулировать в отдельном законопроекте. Законопроект регулирует оборот собственной информации организаций о своей финансово-хозяйственной деятельности, в то время как аудиторы в основном хранят рабочую документацию, которая составляет аудиторскую тайну, отметили в ведомстве.
Страховщики также поддерживают принятие законопроекта, рассказал Forbes IT-директор Всероссийского союза страховщиков Алексей Самошин. По его словам, сейчас при использовании аутсорсинга они обязаны получать согласие третьих лиц на обработку персональных данных для их размещения в «облаках».
Представитель ВТБ назвал такие изменения в законодательстве «актуальными», поскольку банк считает привлечение услуг аутсорсинга IТ и облачных решений «перспективным направлением». При этом необходимо проработать эти изменения со специалистами по информационной безопасности для устранения рисков утечки клиентских данных: например, одним из требований должно быть требование обязательного размещения персональных данных внутри страны, отметил собеседник издания. Forbes направил запрос в «Сбер», Райффайзен Банк, «Открытие» и Тинькофф Банк.
Банки в облаках
Сейчас у банков нет каких-либо ограничений на привлечение внешних провайдеров IТ-услуг: на практике банки уже привлекают специалистов, которых у них не хватает в штате, либо тех, которые необходимы для решения специализированных задач, считает директор по развитию бизнеса в финансовом секторе IТ-компании КРОК Александр Филиппов.
Однако закон о персональных данных позволяет получить согласие клиента на передачу информации о нем, но законодательство о банковской тайне прямо такую возможность не предусматривает, пояснил член Комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Вадим Перевалов. Поэтому некоторые банки опасались использовать IТ-аутсорсинг из-за формально существующих рисков административной и уголовной ответственности из-за передачи банковской тайны, считает он.
Изменения законодательства упростят процесс взаимодействия участников финансового и IТ-рынков: аутсорсинговые компании будут нести ответственность за обращение с информацией на равных с банками, а банки получат необходимые решения, отметила эксперт образовательной экосистемы Moscow Digital School Татьяна Красногорская. По ее словам, сейчас конечная безопасность данных от возможных продаж и утечек — это почти всегда вопрос добросовестности аутсорсинговой компании.
«В договорах обычно указывается ответственность поставщика услуг, но в суде исполнитель будет говорить, что сделал для защиты данных все, что мог, а банковские стандарты на него не распространяются. Теперь это будет не так: хочешь работать с банками и официально называться IТ-аутсорсингом, будь добр соблюдать больше стандартов», — объяснила она.
В документе идет речь о возможности использовать ресурсы облачных платформ, поскольку сейчас IТ-системы финансовых организаций (банков, бирж и т. д.) должны полностью находиться в закрытом контуре, считает руководитель направления облачных продуктов компании «Рексофт» Артем Яговитин. Из-за антироссийских санкций у банков возникли проблемы с расширением инфраструктуры и серверных мощностей, пояснил он.
С этим согласна и Красногорская: по ее словам, банковский сектор столкнулся с трудностями в закупках и поставках импортного оборудования, а санкционные организации и вовсе не могут приобрести нужное «железо». Банкам становится дорого развивать и поддерживать свою IТ-инфраструктуру только собственными силами, подчеркнула она.
Обычно внешнее облако используется для тестирования гипотез, создания прототипов или использования инновационных микросервисов, которые встроятся в общую услугу для клиента, добавил Яговитин. Однако для использования облаков игроками финансового сектора потребуется серьезная организационная и технологическая проработка, считает он.
По его словам, сейчас в основе бизнеса облачных провайдеров лежит единая инфраструктура для всех заказчиков и упрощенная система работы с ними при сбоях в работе оборудования. У аутсорсинговых компаний сравнительно небольшая ответственность перед потребителем облачных услуг (как правило, по договору они отвечают за простой оборудования, но не за потерю данных), а это противоречит строгим требованиям к хранению данных в финансовых организациях, подчеркнул собеседник Forbes.
Источник: Forbes
Изображение: Shutterstock
