Около десятка принятых законов и постановлений правительства (таких как № 54-ФЗ от 22.05.03 «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием платежных карт» или постановление Правительства № 612 от 27.09.07 «Об утверждении правил продажи товаров дистанционным способом») так или иначе затрагивают тему регулирования в сфере e-commerce. Идея свести воедино основные требования к российскому e-commerce и, в частности, окончательно и бесповоротно определить для всех, что же это такое, будоражит умы отечественных законодателей еще с начала века.

На практике, довольно часто прямое отношение к интернет-торговле имеют 152-ФЗ «О персональных данных», 161-ФЗ «О национальной платежной системе», а также ряд международных стандартов и требований, например PCI DSS и т.д.

Лучше всего через канал электронных продаж пока “уходят” стандартизированные, легко сопоставимые по цене в разных магазинах товары, такие как электронная и бытовая техника, книги и билеты, так как вероятность отказа от совершения покупки из-за несоответствия заявленной производителем спецификации минимальна. Быстро развиваются и сегменты продаж одежды, обуви, а также сервисы коллективных покупок и он-лайн бронирования. Темп прироста числа региональных интернет-магазинов тоже увеличивается. Все это постепенно определяет специфику российской электронной торговли.

Кто защитит персональные данные в сети?

Превращение данных о покупках в информацию о самих покупателях, их поведении в процессе приобретения товаров, постепенно становится одним из главных конкурентных преимуществ на электронном рынке с высокой степенью ценовой конкуренции. Без этого уже сложно представить существование сегмента рынка, зарабатывающего на электронной рекламе.

Многим интернет-магазинам приходится иметь дело с различными персональными данными. Например, для того чтобы купить билет на крупные общественные мероприятия или транспорт дальнего следования покупателю понадобится ввести паспортные данные. Вопросы, связанные с обработкой паспортных данных в какой-то степени актуальны для всего российского рынка e-commerce, так как продажи билетов на ЖД и авиа-транспорт обычно включают в ТОП-5 товаров, наиболее успешно реализующихся в электронном виде, хотя число игроков в данном сегменте не такое уж и большое.

“Найти решение, отвечающее как формальным требованиям регулятора, так и адекватное бизнес-рискам, соответствующее специфике конкретной компании из e-commerce, можно всегда. Вопрос лишь в цене. Сама же процедура по приведению в соответствие со 152-ФЗ почти всегда одна и та же. В любом случае, начинать нужно с обследования, ИБ-аудита. У нас были случаи, когда софтверная часть магазина оказывалась реализована настолько “криво”, что для обеспечения минимального уровня ИБ требовалось изменение архитектуры. И только после это имело смысл говорить о применении сертифицированных средств защиты”, – поделился практикой Евгений Афонин, начальник отдела безопасности банковских систем компании “Информзащита“.

При этом периодически публикуемые истории об утечках сведений о клиентах дают понять, что пробелы в ИБ все равно случаются, а потому не стоит без особой на то нужды предоставлять реальные данные о себе. О громоздкой, дорогой и длительной процедуре сертификации по 152-ФЗ представители интернет-торговли часто вспоминают лишь тогда, когда что-то нехорошее с доверенными им данными уже случилось.

Магазинам в интернете явно необходим более гибкий, сбалансированный с точки зрения затрат и результата подход в деле защиты покупательской информации. Представить себе необходимость защиты персональных данных в качестве мощного драйвера для роста уровня безопасности в небольшом интернет-магазине так же трудно, как это было еще несколько лет назад у оффлайн-ритейлеров.

Претензии к самописному софту со стороны владельца интернет-магазина можно предъявить программисту, который недорого сделал сайт, СПО-сообществу, которое выложило основу для написания кода в интернете или же, как вариант, самому себе. Вышеперечисленные варианты плохо подходят для серьезного развития оффлайн ритейла в сторону нового для него канала продаж в рамках электронной торговли. “Очевидно, что в интернете, особенно в e-сommerce, сегодня происходит передел рынка, и в этих условиях компании не должны заниматься самостоятельной разработкой”, – считает Сергей Рыжиков, генеральный директор “1С-Битрикс“.

“Без помощи профессиональных разработчиков компании не смогут должным образом проработать проект, запустить его в короткие сроки, проработать интеграцию с используемыми ими системами, например с ERP, а также не смогут обеспечить необходимой безопасности. Сам рынок сегодня заставляет использовать тиражные продукты,” – подчеркивает он преимущества таких решений, где основные затраты по обеспечению ИБ берет на себя вендор.

“Тиражная система управления сайтами, скорее всего, заведомо отвечает требованиям 152-ФЗ, поскольку вендоры обычно заранее заботятся о соответствии своего ПО требованиям законодательства. Вероятность того, что самописная CMS будет соответствовать этим требованиям, гораздо ниже”, - предполагает Дмитрий Васильев, генеральный директор NetCat. С ростом требований к интернет-коммерции и количеством фактически предъявляемых претензий в рамках 152-ФЗ будет расти востребованность проприетарных решений, при разработке которых позаботились как о комплаенс, так и о том, чтобы цена вопроса вписывалась в бюджет целевой аудитории, в качестве которой чаще всего сегодня выступают СМБ или микро-предприятия.

“Безопасность – это как раз один из тех вопросов, в которых индивидуальная разработка уступает тиражным системам по аудиту уязвимостей, по защите от вторжений хакеров и вирусных атак. В тиражных решениях этому уделяется особое внимание, ведь они должны надежно защищать данные - и банковских клиентов, и посетителей интернет-магазинов, и просто пользователей, регистрирующихся, например, для общения на форумах. Такие решения должны максимально учитывать потребности всех клиентов, а значит, использовать более обширный круг средств защиты”, – резюмирует Сергей Рыжиков.

Совокупность коммерческих предпосылок для обеспечения ИБ и роста внешних требований к электронной коммерции, теоретически, может привести к той же консолидации рынка решений для e-commerce, которая уже наблюдается на рынке бухгалтерского ПО для СМБ, а также может стать неким фактором консолидации самого электронного рынка, повысив высоту порога входа и стоимости пребывания на нем. На рынке оффлайн ритейла это уже происходит, так как доля крупных торговых сетей в этом сегменте по разным причинам постепенно растет.

Банки как причина быть безопасными

От потери данных, помимо морального, можно получить и финансовый ущерб. Хотя чаще всего при покупках в России пока что отсчитывают купюрами, постоянно растет популярность расчетов по платежным картам. В связи с постепенно формирующейся у россиян привычкой не только получать зарплату на банковскую карточку, но и тратить ее оттуда же, актуализируется вопрос о безопасности такого способа распоряжаться деньгами как для ритейла, в целом, так и для e-commerce, в частности.

“Особую роль в обеспечении ИБ интернет-торговли стал играть международный стандарт PCI DSS, разработанный платежными системами Visa и MasterCard на основе лучших мировых практик. Соответствие требованиям этого стандарта гарантирует покупателям высокий уровень защищенности платежей, а торговой организации позволяет обрести уверенность в завтрашнем дне и доверие клиентов”, – констатирует Светлана Гущина, product-менеджер по ИБ компании «Микротест».

В то же время, красиво оформленный разговор в русле западных стандартов не всегда ведет к подразумеваемому выводу о том, что ИБ в отечественном магазине находится на высочайшем уровне. “Представить себе российский интернет-магазин, выполнивший в полном объеме около 300 требований стандарта PCI DSS, конечно, можно, но сложно, – проясняет ситуацию Евгений Афонин. – Большинство же из них идет по тому простому пути, когда при оплате банковской картой клиент “проваливается” по ссылке на сайт банковской организации или расчетной системы, связь с которыми осуществляется по защищенному соединению. Тем не менее, даже в этом случае банк предъявляет к магазинам ряд требований по части ИБ – от полноценного аудита до проведения магазином самооценки”.

Однако даже в случае установленной на продающем сайте переадресации, при которой технология обработки персональной информации не подразумевает ее централизованного накапливания и обработки, программное решение для магазина все равно должно оцениваться на предмет различного рода уязвимостей. “Взломав такой сайт, злоумышленник, в частности, может через XSS подменить адрес перенаправления для кражи платежных данных”, – продолжил Евгений Афонин.

Проверки онлайн-магазинов внешними ИБ-аудиторами сегодня редкость. Поскольку в интересах банков проводить независимую внешнюю оценку магазинов, то ситуация постепенно развивается в соответствующем направлении. “Аутсорсинговые компании - это сервисные компании, которые позволяют остальным игрокам рынка экономить на расходах, и при этом обеспечивать гарантированный уровень ИБ. Наш опыт говорит о том, что отдавать ИБ на аутсорсинг - это выгодно и эффективно,” – рассказал CNews представитель крупного интернет-гипермаркета электроники.

В то же время, в России пока нет оснований обобщать опыт использования аутсорсинга на небольшие интернет-магазины, или, тем более, вести пространный разговор о безопасности в e-commerce в западном, расширенном понимании. Для российского e-trade еще нет общепринятых стандартов ИБ.

ИБ для e-commerce в общезаконодательном контексте

На регулирование сферы электронной торговли, в силу ее специфики, могут оказать влияние все нормативные акты и документы, разрабатываемые российскими законодателями и регуляторами в отношении интернета и защиты прав потребителей. Например, в рамках “Закона об интернете” можно было бы обязать провайдеров и регистраторов сообщать по первому требованию правоохранительных органов информацию о пользователях, что существенно облегчило бы решение целого ряда вопросов, связанных, в том числе, и с расследованием инцидентов в сфере ИБ. А закон «О защите детей от вредной информации» уже создал прецедент для закрытия или блокировки определенных сайтов в досудебном порядке, сделал необходимость этих процедур понятной населению.

Роскомнадзор (РКН) сейчас так же активно работает над очисткой интернета от персональной информацией о гражданах. Ранее ее можно было найти на множество ресурсов с характерными названиями: nomerakazani.ru, spravochnikomsk.ru, spravkairkutska.ru. Вполне возможно, что персональные данные граждан с данных сайтов распространялись на платной основе. Сегодня это уже не важно, поскольку РКН уже закрыл эти сайты, о чем и сообщил в своих новостях.

Текущую работу РКН нельзя не приветствовать, однако предугадать ее дальнейшее направление довольно сложно. Пока еще не ясно, как законодательно будет оформлена такая запретительная деятельность в сети. Однако таким способом можно решить очень широкий круг вопросов, связанных с созданием предпосылок возникновения безопасной среды, в том числе и для интернет-торговли.