6.3.13

Банк России обратил пристальное внимание на безопасность платежных карт

Про перевод стандарта PCI DSS под эгидой Банка России я уже писал (перевод осуществляется АБИСС). Это важная новость, последствия которой российским банкам еще предстоит познать.

Но Банк России не стоит на месте и в конце прошлого года выпускает новое Указание 2926-У от 03.12.2013 «О внесении изменений в Указание Банка России от 12 ноября 2009 года № 2332-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации» которым вводит новые формы отчетности. Среди них и форма отчетности 0409258 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт» и порядок составления и представления отчетности по форме 0409258.

Согласно этой новой отчетности банковские и небанковские кредитные организации обязаны будут с различной периодичностью сообщать о несанкционированных операциях, совершенных на территории и за пределами территории РФ с использованием платежных карт, эмитированных кредитной организацией, а также о несанкционированных операциях, совершенные на территории РФ с использованием платежных карт, эмитированных за пределами территории РФ.

При этом Банк России интересуют все инциденты с платежными картами - совершенные в организациях торговли (по сути магазинах и ресторанах), в пунктах выдачи наличных, в банкоматах и платежных терминалах, а также посредством Интернет и абонентских устройств мобильной связи.

Спустя квартал, 1-го марта Банк России выпускает письмо №34-Т "О рекомендациях по повышению уровня безопасности банкоматов и платежных терминалов", содержащее рекомендации по информационной и, в меньшей степени, физической безопасности банкоматов и платежных терминалов, которые являются одними из самых распространенных устройств, через которые "проходят" платежные карты. В 3-хстраничном письме, в частности, говорится о том, что должны быть реализованы следующие защитные меры:
  • Классификация мест установки по степени риска, в т.ч. и подвергнуться воздействию вредоносного кода, а также совершения несанкционированных операций
  • Пересмотр классификации по мере развития технологий атак
  • Оснащение специальным ПО для выявления и предотвращения атак
  • Регулярный контроль действия обслуживающих организаций
  • Использование систем удаленного мониторинга состояния банкомата или терминала
  • 2 видеокамеры и хранение видеозаписей не менее 60 дней
  • Наличие антискиммингового оборудования
  • Обнаружение, фиксация атак и их попыток и информирование о них заинтересованных участников рынка розничных платежных услуг и Банка России
  • Анализ и выявление уязвимостей после атак или попыток их совершения
  • Совершенствование системы защиты
  • Обмен информацией с другими кредитными организациями
  • Размещение на устройстве рекомендаций по защите PIN
  • + требования по физической безопасности банкоматов и платежных терминалов.
Все? Нет, не все. Как говорилось в Магнитогорске,  сейчас готовится новая редакция указания 2831-У по отчетности по вопросам защиты информации при осуществлении переводов денежных средств и в ней немало внимания будет уделено защите банкоматов и платежных терминалов с подробной детализацией места и условий возникновения инцидента. Эта отчетность дополнит сведения, предусмотренные упомянутой выше формой 0409258.

ЗЫ. Так что банкам стоит уже сейчас готовиться к усилению внимания со стороны отраслевого регулятора, который обратил внимание и на платежные карты, соответствующие электронные средства платежа и устройства, использующие платежные карты и ЭСП, с ними связанные.

1 коммент.:

Unknown комментирует...

Обобщая вышеизложенное, мы получим очень знакомые контроли ;)
- Классификация угроз и уязвимостей;
- Выбор контролей (для предотвращения скимминга и внешних атак, защиты PIN);
- Внедрение IDS систем;
- Аспекты физбезопасности;
- Управление инцидентами и проблемами;
- и т.п. ;)