Около десятка принятых законов и постановлений правительства (таких как № 54-ФЗ от 22.05.03 «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием платежных карт» или постановление Правительства № 612 от 27.09.07 «Об утверждении правил продажи товаров дистанционным способом») так или иначе затрагивают тему регулирования в сфере e-commerce. Идея свести воедино основные требования к российскому e-commerce и, в частности, окончательно и бесповоротно определить для всех, что же это такое, будоражит умы отечественных законодателей еще с начала века.
На практике,
довольно часто прямое отношение к интернет-торговле имеют 152-ФЗ «О
персональных данных», 161-ФЗ «О национальной платежной системе», а также ряд
международных стандартов и требований, например PCI DSS и т.д.
Лучше всего
через канал электронных продаж пока “уходят” стандартизированные, легко
сопоставимые по цене в разных магазинах товары, такие как электронная и бытовая
техника, книги и билеты, так как вероятность отказа от совершения покупки из-за
несоответствия заявленной производителем спецификации минимальна. Быстро
развиваются и сегменты продаж одежды, обуви, а также сервисы коллективных
покупок и он-лайн бронирования. Темп прироста
числа региональных интернет-магазинов тоже увеличивается. Все это постепенно
определяет специфику российской электронной торговли.
Кто защитит персональные данные в сети?
Превращение данных о покупках в информацию о самих покупателях, их поведении в процессе приобретения товаров, постепенно становится одним из главных конкурентных преимуществ на электронном рынке с высокой степенью ценовой конкуренции. Без этого уже сложно представить существование сегмента рынка, зарабатывающего на электронной рекламе.
Многим интернет-магазинам
приходится иметь дело с различными персональными данными. Например, для того
чтобы купить билет на крупные общественные мероприятия или транспорт дальнего
следования покупателю понадобится ввести паспортные данные. Вопросы, связанные
с обработкой паспортных данных в какой-то степени актуальны для всего российского
рынка e-commerce, так как продажи билетов на ЖД и авиа-транспорт обычно
включают в ТОП-5 товаров, наиболее успешно реализующихся в электронном виде,
хотя число игроков в данном сегменте не такое уж и большое.
“Найти
решение, отвечающее как формальным требованиям регулятора, так и адекватное
бизнес-рискам, соответствующее специфике конкретной компании из e-commerce,
можно всегда. Вопрос лишь в цене. Сама же процедура по приведению в
соответствие со 152-ФЗ почти всегда одна и та же. В любом случае, начинать
нужно с обследования, ИБ-аудита. У нас были случаи, когда софтверная часть
магазина оказывалась реализована настолько “криво”, что для обеспечения
минимального уровня ИБ требовалось изменение архитектуры. И только после это
имело смысл говорить о применении сертифицированных средств защиты”, – поделился практикой Евгений
Афонин, начальник отдела безопасности банковских систем компании “Информзащита“.
При этом периодически
публикуемые истории об утечках сведений о клиентах дают понять, что пробелы в
ИБ все равно случаются, а потому не стоит без особой на то нужды предоставлять
реальные данные о себе. О громоздкой, дорогой и длительной процедуре сертификации
по 152-ФЗ представители интернет-торговли часто вспоминают лишь тогда, когда
что-то нехорошее с доверенными им данными уже случилось.
Магазинам в
интернете явно необходим более гибкий, сбалансированный с точки зрения затрат и
результата подход в деле защиты покупательской информации. Представить себе
необходимость защиты персональных данных в качестве мощного драйвера для роста
уровня безопасности в небольшом интернет-магазине так же трудно, как это было
еще несколько лет назад у оффлайн-ритейлеров.
Претензии к
самописному софту со стороны владельца интернет-магазина можно предъявить программисту,
который недорого сделал сайт, СПО-сообществу, которое выложило основу для
написания кода в интернете или же, как вариант, самому себе. Вышеперечисленные
варианты плохо подходят для серьезного развития оффлайн ритейла в сторону
нового для него канала продаж в рамках электронной торговли. “Очевидно, что в
интернете, особенно в e-сommerce, сегодня происходит передел рынка, и в этих
условиях компании не должны заниматься самостоятельной разработкой”, – считает Сергей
Рыжиков, генеральный директор “1С-Битрикс“.
“Без помощи профессиональных разработчиков компании не смогут должным образом проработать проект, запустить его в короткие сроки, проработать интеграцию с используемыми ими системами, например с ERP, а также не смогут обеспечить необходимой безопасности. Сам рынок сегодня заставляет использовать тиражные продукты,” – подчеркивает он преимущества таких решений, где основные затраты по обеспечению ИБ берет на себя вендор.
“Тиражная
система управления сайтами, скорее всего, заведомо отвечает требованиям 152-ФЗ,
поскольку вендоры обычно заранее
заботятся о соответствии своего ПО требованиям законодательства. Вероятность
того, что самописная CMS будет соответствовать этим требованиям, гораздо ниже”,
- предполагает Дмитрий
Васильев, генеральный директор NetCat. С ростом требований к
интернет-коммерции и количеством фактически предъявляемых претензий в рамках
152-ФЗ будет расти востребованность проприетарных решений, при разработке
которых позаботились как о комплаенс, так и о том, чтобы цена вопроса
вписывалась в бюджет целевой аудитории, в качестве которой чаще всего сегодня
выступают СМБ или микро-предприятия.
“Безопасность
– это как раз один из тех вопросов, в которых индивидуальная разработка
уступает тиражным системам по аудиту уязвимостей, по защите от вторжений
хакеров и вирусных атак. В тиражных решениях этому уделяется особое внимание,
ведь они должны надежно защищать данные - и банковских клиентов, и посетителей
интернет-магазинов, и просто пользователей, регистрирующихся, например, для
общения на форумах. Такие решения должны максимально учитывать потребности всех
клиентов, а значит, использовать более обширный круг средств защиты”, – резюмирует Сергей Рыжиков.
Совокупность
коммерческих предпосылок для обеспечения ИБ и роста внешних требований к
электронной коммерции, теоретически, может привести к той же консолидации рынка
решений для e-commerce, которая уже
наблюдается на рынке бухгалтерского ПО для СМБ, а также может стать неким фактором
консолидации самого электронного рынка, повысив высоту порога входа и стоимости
пребывания на нем. На рынке оффлайн ритейла это уже происходит, так как доля
крупных торговых сетей в этом сегменте по разным причинам постепенно растет.
Банки как причина быть безопасными
От потери данных, помимо морального, можно получить и финансовый ущерб. Хотя чаще всего при покупках в России пока что отсчитывают купюрами, постоянно растет популярность расчетов по платежным картам. В связи с постепенно формирующейся у россиян привычкой не только получать зарплату на банковскую карточку, но и тратить ее оттуда же, актуализируется вопрос о безопасности такого способа распоряжаться деньгами как для ритейла, в целом, так и для e-commerce, в частности.
“Особую роль
в обеспечении ИБ интернет-торговли стал играть международный стандарт PCI DSS,
разработанный платежными системами Visa и MasterCard на основе лучших мировых
практик. Соответствие требованиям этого стандарта гарантирует покупателям
высокий уровень защищенности платежей, а торговой организации позволяет обрести
уверенность в завтрашнем дне и доверие
клиентов”, – констатирует Светлана
Гущина, product-менеджер
по ИБ компании «Микротест».
В то же
время, красиво оформленный разговор в русле западных стандартов не всегда ведет
к подразумеваемому выводу о том, что ИБ в отечественном магазине находится на
высочайшем уровне. “Представить себе российский интернет-магазин, выполнивший в
полном объеме около 300 требований стандарта PCI DSS, конечно, можно, но
сложно, – проясняет ситуацию Евгений
Афонин. – Большинство же из них идет по тому простому пути, когда при
оплате банковской картой клиент “проваливается” по ссылке на сайт банковской
организации или расчетной системы, связь с которыми осуществляется по
защищенному соединению. Тем не менее, даже в этом случае банк предъявляет к
магазинам ряд требований по части ИБ – от полноценного аудита до проведения
магазином самооценки”.
Однако даже
в случае установленной на продающем сайте переадресации, при которой технология
обработки персональной информации не подразумевает ее централизованного
накапливания и обработки, программное решение для магазина все равно должно
оцениваться на предмет различного рода уязвимостей. “Взломав такой сайт,
злоумышленник, в частности, может через XSS подменить адрес перенаправления для
кражи платежных данных”, – продолжил Евгений Афонин.
Проверки
онлайн-магазинов внешними ИБ-аудиторами сегодня редкость. Поскольку в интересах
банков проводить независимую внешнюю оценку магазинов, то ситуация постепенно
развивается в соответствующем направлении. “Аутсорсинговые компании - это
сервисные компании, которые позволяют остальным игрокам рынка экономить на
расходах, и при этом обеспечивать гарантированный уровень ИБ. Наш опыт говорит
о том, что отдавать ИБ на аутсорсинг -
это выгодно и эффективно,” – рассказал CNews представитель крупного интернет-гипермаркета электроники.
В то же
время, в России пока нет оснований обобщать опыт использования аутсорсинга на
небольшие интернет-магазины, или, тем более, вести пространный разговор о безопасности
в e-commerce в западном, расширенном понимании. Для российского e-trade еще нет
общепринятых стандартов ИБ.
ИБ для e-commerce в общезаконодательном контексте
На регулирование сферы электронной торговли, в силу ее специфики, могут оказать влияние все нормативные акты и документы, разрабатываемые российскими законодателями и регуляторами в отношении интернета и защиты прав потребителей. Например, в рамках “Закона об интернете” можно было бы обязать провайдеров и регистраторов сообщать по первому требованию правоохранительных органов информацию о пользователях, что существенно облегчило бы решение целого ряда вопросов, связанных, в том числе, и с расследованием инцидентов в сфере ИБ. А закон «О защите детей от вредной информации» уже создал прецедент для закрытия или блокировки определенных сайтов в досудебном порядке, сделал необходимость этих процедур понятной населению.
Роскомнадзор
(РКН) сейчас так же активно работает над очисткой интернета от персональной информацией
о гражданах. Ранее ее можно было найти на множество ресурсов с характерными
названиями: nomerakazani.ru, spravochnikomsk.ru, spravkairkutska.ru. Вполне
возможно, что персональные данные граждан с данных сайтов распространялись на
платной основе. Сегодня это уже не важно, поскольку РКН уже закрыл эти сайты, о
чем и сообщил в своих новостях.
Текущую
работу РКН нельзя не приветствовать, однако предугадать ее дальнейшее направление
довольно сложно. Пока еще не ясно, как законодательно будет оформлена такая
запретительная деятельность в сети. Однако таким способом можно решить очень
широкий круг вопросов, связанных с созданием предпосылок возникновения безопасной
среды, в том числе и для интернет-торговли.