Комментарии 2
В современном мире модель «броня-снаряд» переродилась в треугольник «Броня-Регулятор-Снаряд», а раз так, то становиться видна фундаментальная проблема протокола — не соответствие требованиям по защите персональных данных. Смотрите:
Сразу получаем коллизию со 152-ФЗ.
Например, клиент обладает картой ПС1, и дал ей и ее операторам согласие на биометрию. ТСП принимает карты ПС1, ПС2, ПС3.
Отправка биометрии (да в прочем и другой персональной информации) в ПС2 и ПС3 (как это описано в протоколе) — это нарушение закона о перс. данных торгово-сервисным предприятием, поскольку на это у него нет законных оснований (согласия клиента), да и операторы ПС2 и ПС3 в случае проверки тоже попадут под раздачу, так как у них тоже нет законных оснований для обработки этой информации о покупателе (он не их клиент).
ТСП (торговая площадка, поставщик платежного сервиса) после выбора покупателем кнопки SRC Triger отправляет в систему SRC данные о покупателе (например, биометрические данные… ТСП отправляет запросы во все системы SRC, принадлежащие ПС, карты которых принимает ТСП.
Сразу получаем коллизию со 152-ФЗ.
Например, клиент обладает картой ПС1, и дал ей и ее операторам согласие на биометрию. ТСП принимает карты ПС1, ПС2, ПС3.
Отправка биометрии (да в прочем и другой персональной информации) в ПС2 и ПС3 (как это описано в протоколе) — это нарушение закона о перс. данных торгово-сервисным предприятием, поскольку на это у него нет законных оснований (согласия клиента), да и операторы ПС2 и ПС3 в случае проверки тоже попадут под раздачу, так как у них тоже нет законных оснований для обработки этой информации о покупателе (он не их клиент).
Регулятор всегда присутствует в модели «броня-снаряд». Просто это не всегда заметно. Но, если возникает конфликт между правилами регулятора (законом) и правилами платежной системы, то закон государства, несомненно, имеет более высокий приоритет. И это правильно- государство должно защищать интересы всех участников общества.
Что касается конкретно биометрии, то она приведена в статье лишь в качестве примера одного из способов идентификации/аутентификации покупателя и вовсе необязательна при внедрении SRC. Кстати, в России существует решение, полностью соответствующее требованиям ФЗ-152, а именно Единая Биометрическая Система (ЕБС). Платформа SRC может успешно использовать сервисы ЕБС для решения своих задач.
Тем не менее, вопросы широкого использования биометрии в платежах являются актуальными. Биометрия в платежах имеет свою специфику (наличие связки биометрического темплейта и реквизитов платежной карты), учет которой, как нам кажется, может сделать применение этой технологии в платежах более удобным и безопасным для использования биометрии, в том числе и в других неплатежных областях. Собственно универсальный характер биометрических технологий и является главной причиной для регулирования этого вопроса на уровне закона. Но это большая тема для отдельного разговора.
Что касается конкретно биометрии, то она приведена в статье лишь в качестве примера одного из способов идентификации/аутентификации покупателя и вовсе необязательна при внедрении SRC. Кстати, в России существует решение, полностью соответствующее требованиям ФЗ-152, а именно Единая Биометрическая Система (ЕБС). Платформа SRC может успешно использовать сервисы ЕБС для решения своих задач.
Тем не менее, вопросы широкого использования биометрии в платежах являются актуальными. Биометрия в платежах имеет свою специфику (наличие связки биометрического темплейта и реквизитов платежной карты), учет которой, как нам кажется, может сделать применение этой технологии в платежах более удобным и безопасным для использования биометрии, в том числе и в других неплатежных областях. Собственно универсальный характер биометрических технологий и является главной причиной для регулирования этого вопроса на уровне закона. Но это большая тема для отдельного разговора.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Платежные системы. Соревнование брони и снаряда