Электронные платежи по-русски
Как отечественные банки отстраивают инфраструктуру на локальных IT-решениях
Российские банки успешно справляются с задачей локализации процессинга. Они уже преодолели первый этап срочной миграции на отечественные решения в условиях цейтнота последних лет и находятся на этапе, когда на первый план выступает модернизация процессинговой инфраструктуры. Стимулом для этого оказываются не только регуляторные требования, но и рост безналичных платежей в России. Участники рынка готовы обеспечить надежные решения для таких задач, уверены эксперты.
Фото: Александр Миридонов, Коммерсантъ
Фото: Александр Миридонов, Коммерсантъ
Качественные изменения
Процесс локализации процессинга в банках заметно и уверенно развивается, показал проверенный “Ъ” опрос крупных вендоров и интеграторов. «В больших банках процессинг уже локализован или близок к этому уровню. Средние банки делают это шаг за шагом, используя помощь сторонних компаний. Малые же банки сталкиваются с большими трудностями из-за ограниченных ресурсов и чаще пользуются готовыми решениями от других организаций»,— рассказывают в компании «Информзащита».
Сегодня крупные банки находятся на этапе использования параллельных стеков и фактической эксплуатации практически полных решений на отечественных HSM/СКЗИ (сертифицированных криптографических средств защиты) с возможностью переключения на старый стек, отмечает руководитель группы исследований безопасности банковских систем Positive Technologies Сергей Белов. Они либо мигрировали на российские решения, либо выкупили и локализовали иностранные платформы, получив контроль над кодом и развитием, добавляет директор по развитию ИИ и веб-технологий Artezio (входит в группу компаний «Ланит») Сергей Матусевич. До 2025 года фокус был на срочной миграции критически важных систем. 2025–2030 годы предполагают масштабную интеграцию технологий нового поколения, напоминает технический директор СУБД YDB компании Яндекс Андрей Фомичев.
Банки подтверждают слова экспертов. В частности, в Сбербанке отмечают, что год назад полностью перевели выпуск и обслуживание банковских карт клиентов на собственную платформу процессинга, запатентованную и внесенную в реестр отечественного ПО. Т-Банк уже успешно завершил миграцию на собственную локализованную процессинговую платформу, рассказали в организации.
Крупные банки могут использовать смешанный подход к модернизации процессинга: собственные R&D-центры для ключевых решений и внешние подрядчики для внедрения, говорит Андрей Фомичев. Средние и малые банки чаще опираются на внешних вендоров или готовые решения, так как не всегда обладают достаточными ресурсами для самостоятельной разработки.
«Очень важен тесный контакт IT-специалистов банка с вендорами: полезно давать вендорам комментарии, как можно расширить функциональность ПО, сделать его более надежным и удобным в использовании, чтобы их ПО совершенствовалось»,— продолжает Андрей Фомичев. Это одно из конкурентных преимуществ «Яндекса»: компания постоянно взаимодействует с заказчиками, интеграторами, разработчиками решений, в диалоге создает продукт, который будет по-настоящему полезен отрасли по сравнению с глобальными решениями.
У средних банков, по словам Сергея Белова, формат локализации цифровых решений можно назвать гибридом: российские платформы применяются в авторизации и антифроде, но по-прежнему функционируют legacy-модули, особенно в эквайринге и PCI-зонах. Иногда можно заметить самые смелые решения: переход на облачные архитектуры, отказ от legacy-систем, внедрение микросервисов. «Средний сегмент делает то, о чем крупные банки только мечтали, будучи связанными своими гигантскими унаследованными IT-системами»,— отмечает Сергей Матусевич. Это банки с достаточными ресурсами для серьезных проектов, но без возможности содержать огромные команды разработки, продолжает эксперт.
У малых — фрагментарная локализация и зависимость от внешних процессингов и интеграторов, и здесь чаще используется подход lift-and-wrap (не полноценная замена, а создание некоторого дополнительного интерфейса совместимости), заключает Сергей Белов.
Драйверы локализации — взгляд участников рынка
«В авангарде развития платежной индустрии и карточных технологий всегда были в первую очередь международные платежные системы, которые определяли требования к высокой доступности карточных продуктов и сервисов, а также безопасности транзакционного бизнеса. Ключевым событием, которое оказало наибольшее влияние на платежный рынок России, стал уход международных платежных систем, сервисов бесконтактной оплаты и зарубежных вендоров»,— отмечает старший вице-президент, руководитель блока розничного бизнеса ПСБ Алексей Щавелев.
Также драйвером локализации выступили нормативные требования. Главный — регуляторные требования в области КИИ и импортозамещения, закрепленные указами президента №166 и №887, а также ФЗ-58, которые обозначили точку невозврата по срокам и допустимым стекам, отмечает Сергей Белов.
Также банки сталкиваются с большим объемом операций и рыночной конкуренцией, поэтому им нужны современные и быстрые системы обработки платежей. «Мы по-прежнему наблюдаем значительный ежегодный рост карточных транзакций. Он связан с общим увеличением доли безналичных расчетов в России, а также с тем, что функция оплаты картой, включая стикеры и токенизированные карты в приложении Mir Pay и в приложениях банков, остается наиболее удобным средством ежедневных расчетов»,— говорит исполнительный вице-президент, начальник департамента процессинга и платежных технологий Газпромбанка Юрий Гудкин.
Также нужно отметить, что нагрузка на процессинговые системы формируется не только за счет традиционных карточных транзакций, но и за счет новых способов расчетов, таких как СБП, добавляет господин Гудкин. В частности, по данным ЦБ, количество переводов через Систему быстрых платежей (СБП) в третьем квартале 2025 года выросло в 1,3 раза год к году и составило 4,6 млрд операций, а их объем вырос в 1,3 раза, до 26,5 трлн руб.
Третий драйвер — санкционные риски в цепочках поставок, включая эпизодические блокировки трансграничных платежей за оборудование, отмечает Сергей Белов. Совокупное влияние этих факторов приводит к ускорению локализации не только на уровне формального соответствия требованиям регулятора, но и на уровне реальных технологических решений, считает эксперт.
Говоря о времени перехода, в «Информзащите» отмечают, что крупным банкам обычно требуется два-три года для полностью стабильного перехода с учетом всех этапов, средним — три-пять лет из-за ограниченного количества ресурсов. Малым банкам может понадобиться более пяти лет на адаптацию и внедрение.
В целом миграцию на отечественные решения в процессинге можно разделить на две волны. «Первая волна локализации (до 1 января 2025 года) фокусировалась на минимизации регуляторных рисков и обеспечении базовой работоспособности систем. Основные действия включали: вывод иностранного программного обеспечения и оборудования из значимых объектов критической информационной инфраструктуры, установку отечественных HSM и СКЗИ, оснащение автоматизированных систем управления средствами мониторинга и выполнение обязательных регуляторных чек-листов, рассказывает Сергей Белов из Positive Technologies: «Часто это реализовывалось через прослойки совместимости и подход "минимально жизнеспособной миграции", позволяющий быстро закрыть критические требования, не меняя полностью архитектуру».
Вторая волна локализации (2025–2030 годы) направлена на глубокую модернизацию процессинговой инфраструктуры. «Банки прошли стадию паники и вошли в фазу осознанной трансформации, в 2022 году они действовали в режиме пожаротушения — нужно было срочно мигрировать, часто не до конца понимая, на что именно»,— добавляет Сергей Матусевич. Новый этап предполагает пересборку систем под российские СУБД и операционные системы без использования прослоек, перестройку контуров авторизации и клиринга с расчетом на реальные пиковые нагрузки в Системе быстрых платежей и эквайринге, стандартизацию интерфейсов, унификацию логирования и мониторинга, рассказывает господин Белов. Дополнительно, по его словам, в рамках этой волны происходит подготовка к работе с цифровым рублем и открытыми API, которые регулятор планирует внедрять в период 2025–2027 годов. Сейчас мы живем совсем в другой реальности: большинство участников рынка используют современные платформы, построенные на основании современных архитектурных паттернов и подходов, отмечает директор департамента информационных технологий розничного бизнеса Россельхозбанка Василий Светлов.
Вызовы и решения
Вместе с тем переход на отечественный процессинг является болью для российских банков, говорят эксперты. Локализация процессинга вызывает много проблем из-за сложности больших изменений в критически важных системах, что требует большого времени на тесты, настройку и рискует нарушить работу банка, рассказывают в «Информзащите».
Это гораздо больше, чем просто смена поставщика: процесс требует глубокой перестройки технических решений, в частности перехода на отечественные средства криптографической защиты, изменения систем управления ключами, повторного прохождения сертификаций и полного ретестирования сотен интеграций, поясняет Сергей Белов. При этом банки не могут позволить себе даже кратковременную остановку операционных процессов, что делает задачу особенно сложной, отмечает он.
Наибольшие трудности, по словам экспертов, возникают при переходе от привычных зарубежных решений к отечественным аналогам, где интерфейсы и API отличаются, а нагрузка находится на уровне реальных, а не тестовых сценариев. Дополнительным фактором, усиливающим «боль», остаются проблемы физической логистики: оборудование подорожало, сроки поставок увеличились, что напрямую влияет на графики внедрения и замедляет общие темпы локализации. «Далее — производительность: перейти от пилотных запусков к устойчивой работе под реальной нагрузкой»,— добавляет господин Белов.
Третий ключевой вызов — соответствие строгим регуляторным требованиям по защите переводов, отказоустойчивости и контролю КИИ. Формального выполнения нормативов здесь недостаточно — критически важны регулярные стресс-тесты, аудит конфигураций и проверка устойчивости инфраструктуры к сбоям и атакам в условиях, максимально приближенных к реальной эксплуатации, говорит Сергей Белов.
Сотрудничество и доверие
В зависимости от банка может меняться и наиболее эффективный способ миграции. Крупные банки могут работать сами, используя свои ресурсы, но им все равно нужна помощь партнеров, отмечают в «Информзащите». Собственными силами идти имеет смысл, только если есть команда из нескольких сотен разработчиков и бюджет, который позволяет держать их в штате годами, говорит Сергей Матусевич. Они выращивают компетенции внутри, контролируют каждую строчку кода, не зависят от вендоров, но даже они понимают, что некоторые специфические задачи проще и дешевле отдать на аутсорсинг, чем содержать узких специалистов в штате для разовых проектов, добавляет он.
Для среднего и малого бизнеса попытка сделать все своими силами — это прямой путь к провалу: просто физически не хватит людей нужной квалификации, продолжает Сергей Матусевич. «Полный аутсорсинг тоже не панацея — отдать все на сторону означает потерять контроль над критической инфраструктурой»,— продолжает эксперт.
Так, самый разумный путь для большинства банков — это смешанный подход, но с четким распределением ролей, говорят эксперты. Ядро остается внутри (ключевые архитектурные решения, управление данными, интеграция с внутренними системами), а сложные технические задачи — миграция данных, настройка процессинга, разработка специфического функционала, нагрузочное тестирование — отдаются профессионалам, которые это делали десятки раз, говорит господин Матусевич. «Мы используем гибридное решение. Фронт процессинга — это импортозамещенное решение SmartVista от отечественного вендора. Бэк — самописная информационная система, которую мы импортозаместили, попутно переписав ее на микросервисную архитектуру»,— делится Василий Светлов.
Российские вендоры более чем надежны, и тут нет никаких сомнений, уверен глава комитета по ИБ Ассоциации российских банков Андрей Федорец. Надежность уже демонстрируют ряд российских производителей СКЗИ, платформ и баз данных, причем не «по паспорту», а на основе боевой эксплуатации под реальными пиковыми нагрузками и готовности проходить независимые испытания отказоустойчивости, говорит Сергей Белов.
«В последнее время на российском рынке появилось достаточно большое количество локализованных аппаратных средств, имеющих необходимую сертификацию. С точки зрения локализации процессинга сейчас доступен весь необходимый спектр отечественного оборудования: серверы баз данных и приложений, криптографическое и сетевое оборудование, системы хранения данных»,— говорит господин Гудкин.
При выборе партнера важно обращать внимание на доказуемость, считают эксперты. Банкам важно опираться на опыт успешных внедрений, участвовать в тестах и брать рекомендации — доверие формируется через практику, прозрачное взаимодействие и сертификацию решений, указывают в «Информзащите». «По срокам разумно планировать миграцию в три этапа: несколько месяцев на анализ и "пилоты", полгода на ограниченное тестирование в реальном окружении и 6–12 месяцев на поэтапный перенос ядра с регуляторными процессами»,— оценивает господин Белов.