Вступ
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Рух економік до безготівкових розрахунків є багаторічним світовим трендом. Також, за офіційною позицією Національного банку України (далі — регулятор, НБУ), безготівкова економіка, розвинута платіжна інфраструктура, безпечні та надійні розрахунки знаходяться в переліку його задекларованих цілей діяльності як регулятора.
Безпека безготівкових розрахунків, захист даних власників карток — питання для досягнення таких цілей надпринципове.
Payment Card Industry Data Security Standard (далі — PCI DSS, Стандарт) — це міжнародний стандарт безпеки даних індустрії платіжних карток, що є сукупністю вимог щодо забезпечення безпеки даних власників платіжних карток, які передаються, зберігаються і обробляються в інформаційних інфраструктурах організацій. Він застосовується для організацій сфери обробки платіжних даних: торгово-сервісних підприємств, процесингових центрів, банків-еквайрів, організацій, що випускають платіжні картки, та постачальників послуг, а також інших організацій, які зберігають, обробляють або передають дані власників карток.
Для підтвердження відповідності Стандарту організація має пройти низку перевірок, довівши відповідність її інформаційних систем і процесів вимогам PCI DSS. Після чого сертифікацію на відповідність Стандарту потрібно проходити щороку.
Сертифікати про підтвердження відповідності PCI DSS має низка українських банків. Першою в Україні мікрофінансовою компанією, яка отримала сертифікат безпеки PCI DSS, в 2019 році стала Moneyveo.
Вимоги PCI DSS щодо зберігання та передачі даних власників карток
Стандарт містить низку вимог щодо зберігання та передачі даних власників карток, зокрема вимоги 3 і 4 — «Захист збережених даних про власників карток» (Protect stored cardholder data) та «Шифрування передачі даних про власників картки через відкриті загальнодоступні мережі» (Encrypt transmission of cardholder data across open, public networks).
Стандарт у частині передачі даних визначає, що через загальнодоступні мережі критичну інформацію слід передавати лише у зашифрованому вигляді.
Що стосується передачі таких даних власників карток, як номери карток (PAN), то п. 4.2 Стандарту прямо забороняє їх передачу за допомогою користувальницьких технологій передачі повідомлень, зокрема електронною поштою, у «незахищеному вигляді», тобто «в читабельному вигляді або не захищеному за допомогою стійких криптографічних механізмів захисту».
Також, наприклад, PCI DSS містить низку вимог, що стосуються залучення сторонніх постачальників послуг (аутсорсинг), що відповідно можуть мати доступ до даних власників карток. Так, п. 12.8 Стандарту передбачає вимогу про впровадження та підтримання спеціальних політик і процедур взаємодії з такими сторонніми постачальниками послуг, які мають доступ доданих власників карток або можуть вплинути на безпеку даних власників карток, зокрема вимогу про обов’язкове складання письмової угоди, що містить положення про те, що постачальники послуг є відповідальними за безпеку наявних у них даних власників карток.
Співвідношення PCI DSS із національним законодавством України
PCI DSS розроблений Радою зі стандартів безпеки індустрії платіжних карток (Payment Card Industry Security Standards Council, PCI SSC), заснованою міжнародними платіжними системами Visa, MasterCard, American Express, JCB і Discover.
Отже, слід розуміти, що PCI DSS не є ані національним, ані міжнародним нормативно-правовим актом, будь-яким чином імплементованим в національне законодавство України (не є його частиною).
Сам Стандарт містить положення про те, що PCI DSS «може бути розширено додатковими регулюючими механізмами та методами скорочення ризиків, а також вимогами та розпорядженнями місцевого, регіонального та галузевого законодавства», а також, що він «не замінює собою місцеві чи регіональні закони, урядові розпорядження чи інші вимоги законодавства».
У цьому контексті резонно, що Стандарт не містить жодних положень, що регулювали б порядок взаємодії сертифікованих організацій із державними (зокрема правоохоронними) органами, відповідно не містить ані жодних особливих умов обміну інформацією з такими органами, ані заборон на такий обмін інформацією чи передачу окремих даних, обробка яких врегульована Стандартом.
Відсутність подібних положень якраз продиктована тим, що PCI DSS не може замінювати положення законодавства країн, резидентами яких є організації (відповідно і встановлювати порядок взаємодії суб’єктів господарювання з державними органами).
Окремі питання передачі фінансовими компаніями даних на вимогу регулятора
Вказані вище (для прикладу) положення Стандарту в частині вимог про передачу номерів карток (PAN) лише в зашифрованому (спеціальним чином) вигляді або ж про обов’язкове складання письмових угод із положеннями про те, що постачальники послуг несуть відповідальність за безпеку наявних у них даних власників карток у разі надання таким стороннім організаціям доступу до цих даних були наведені, оскільки є дотичними до порушеного питання передачі компанією даних власників карток на вимогу державних органів.
Одразу можна звернути увагу, що дотримання вимог Стандарту (в частині шифрування передачі даних про власників картки) при взаємодії з державними органами однозначно не може бути завжди можливим з огляду на положення українського законодавства.
Так, клієнт фінансової компанії має захищене законом право на «конфіденційність отримання фінансової послуги та інформації про надання фінансової послуги, крім випадків, встановлених законом» (п. 3 ч. 1 ст. 6З У «Про фінансові послуги та фінансові компанії»). Відповідно фінансова компанія зобов’язана забезпечувати дотримання такого його права. Це здійснюється і шляхом дотримання вимог/впровадження процедур, передбачених PCI DSS, які зрештою і покликані сприяти збереженню конфіденційної інформації клієнтів компанії — власників платіжних карток.
Також ЗУ «Про фінансові послуги та фінансові компанії» містить спеціальний розд. III. «Таємниця фінансової послуги та конфіденційність інформації» (ст.ст. 10–12, що врегульовують порядок захисту такої таємниці).
Однак норми цього розділу прямо передбачають, що будь-які обмеження щодо отримання інформації, що становить таємницю фінансової послуги, не поширюються на керівників і службовців НБУ, осіб, уповноважених НБУ, які в межах повноважень, наданих законом, здійснюють функції нагляду, захисту прав споживачів фінансових послуг, а також нагляду у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення (ч. 6 ст. 11 ЗУ «Про фінансові послуги та фінансові компанії»).
Також положення ЗУ «Про фінансові послуги та фінансові компанії» передбачають, що регулятор у межах здійснення нагляду має право:
–– одержувати безоплатно від надавачів фінансових послуг, діяльність яких перевіряється, інформацію, документи та їх копії (у паперовій або електронній формі), письмові пояснення з питань діяльності, що характеризують фінансові послуги, які надаються цією особою, та/або щодо дотримання ними законодавства України (ч. 9 ст. 23);
–– отримувати інформацію, у тому числі інформацію з обмеженим доступом, яка необхідна йому для здійснення державного регулювання та нагляду (ч. 10 ст. 23);
–– використовувати інформацію, у тому числі інформацію, що становить таємницю фінансової послуги та/або банківську таємницю, одержану ним у процесі здійснення нагляду (ч. 11 ст. 23).
А органи державної влади, органи місцевого самоврядування, юридичні особи всіх форм власності зобов’язані в свою чергу у встановленому законодавством порядку та строки надавати регулятору інформацію, у тому числі інформацію з обмеженим доступом, необхідну для здійснення державного регулювання та нагляду (ч. 10 ст. 23 ЗУ «Про фінансові послуги та фінансові компанії»).
При цьому Положення про здійснення Національним банком України нагляду за додержанням об’єктами нагляду законодавства України про захист прав споживачів фінансових послуг та обмежених платіжних послуг, вимог щодо взаємодії із споживачами при врегулюванні простроченої заборгованості, затверджене постановою Правління НБУ №198 від 2 вересня 2022 року, передбачає, що НБУ направляє письмові запити на отримання пояснень, інформації та документів в паперовій формі (засобами поштового зв’язку) або в електронній формі, підписані КЕП (на електронну адресу) (п. 28 Положення), а також, що надання надавачем фінансових послуг відповідей на такі запити також здійснюється аналогічно — в паперовій або електронній формах. Тобто це Положення не передбачає обов’язки або права ані для регулятора, ані для надавача фінансових послуг здійснювати шифрування запитів/відповідей на запити.
І враховуючи описане вище превалювання норм законодавства над положеннями Стандарту (що не є нормативно-правовим актом), фінансова компанія зобов’язана надавати запитувані регулятором інформацію/документи у тій формі, що вимагається у певному запиті, і відповідно не може забезпечити, наприклад, дотримання вимоги PCI DSS у частині передачі номерів карток (PAN) електронною поштою лише в зашифрованому (спеціальним чином) вигляді. Принаймні в разі, якщо такий порядок передачі окремо не погоджується з НБУ в конкретних випадках.
Щодо взаємодії з іншими органами, зокрема правоохоронними — поліцією, СБУ тощо
Як вже зазначалося, норми законодавства превалюють над положеннями Стандарту.
Тому очевидно, що у разі, якщо має місце здійснення тимчасового доступу до речей і документів на підставі ухвали слідчого судді, суду в порядку ст. 159 КПК України, то фінансова компанія зобов’язана виконувати законну вимогу і такий доступ забезпечувати, надавати інформацію, документи у запитуваному обсязі. Зокрема і шляхом надання правоохоронному органу можливості зняття копії інформації, що міститься в електронних інформаційних системах, комп’ютерних системах або їх частинах, мобільних терміналах систем зв’язку (абз. 2 ч. 1 ст. 159 КПК України).
Очевидно, що в такому випадку інформація надається у запитуваному обсязі та у тій формі, що вимагається у відповідному запиті. Так, КПК України містить положення, що встановлюють перелік речей і документів, що містять охоронювану законом таємницю, до якої, зокрема, входять і «відомості, які можуть становити банківську таємницю» (п. 5 ч. 1 ст. 162 КПК України). Втім і доступ до таких речей/документів/відомостей може надаватися в порядку здійснення тимчасового доступу до речей і документів згідно зі ст.ст. 159, 163 КПК України, наприклад, на підставі ухвали слідчого судді, суду.
Водночас при отриманні запитів від правоохоронних органів (поліції, СБУ тощо), щодо яких є об’єктивні сумніви у їх обґрунтованості (наявності всіх належних, передбачених законодавством відомостей/підстав для направлення запиту, наприклад, лише із посиланням на ст. 93 КПК України «Збирання доказів»), фінансова компанія щоразу має приймати рішення щодо можливості надання інформації, захист якої врегульовано вимогами PCI DSS. Що загалом застосовно до будь-яких запитів правоохоронних органів, щодо яких є сумніви у їх обґрунтованості.
Замість висновків
Можна лише очікувати, що в майбутньому (в межах подальшої цифровізації держави) будуть прийматися певні спеціальні закони (або ж нормативно-правові акти НБУ), що встановлюватимуть чіткі інструменти забезпечення безпеки даних, які становлять таємницю фінансової послуги при взаємодії організацій з державними органами в межах здійснення останніми державного контролю та нагляду, обміну з ними такими даними. Що автоматично врегулює й питання дотримання вимог PCI DSS, посилить і сприятиме безпеці безготівкових розрахунків, захисту даних власників карток загалом.
Наразі в будь-якому випадку при наданні/розкритті фінансовою компанією інформації, захист якої врегульовано вимогами Стандарту, необхідно впроваджувати обов’язкове застереження при наданні даних на вимоги державних органів, що містять таку інформацію, про те, що її отримувач:
1) несе відповідальність за безпеку наявних у нього даних власників карток, доступ до яких йому надається;
2) зобов’язаний зберігати та не розголошувати таку інформацію, що є таємницею фінансової послуги.
До того ж це кореспондується із поло-женням, закріпленим у ч. 7 ст. 11ЗУ «Про фінансові послуги та фінансові компанії» (набрав чинностіз 2024 року), що встановлює вимогу до надавача фінансових послуг повідомляти органи державної влади, які під час виконання своїх функцій, визначених законом, безпосередньо чи опосередковано отримали інформацію, що становить таємницю фінансової послуги, про вимоги щодо збереження таємниці фінансової послуги та обов’язок її нерозголошення.