Про перевод стандарта PCI DSS под эгидой Банка России я уже писал (перевод осуществляется АБИСС). Это важная новость, последствия которой российским банкам еще предстоит познать.
Но Банк России не стоит на месте и в конце прошлого года выпускает новое Указание 2926-У от 03.12.2013 «О внесении изменений в Указание Банка России от 12 ноября 2009 года № 2332-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации» которым вводит новые формы отчетности. Среди них и форма отчетности 0409258 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт» и порядок составления и представления отчетности по форме 0409258.
Согласно этой новой отчетности банковские и небанковские кредитные организации обязаны будут с различной периодичностью сообщать о несанкционированных операциях, совершенных на территории и за пределами территории РФ с использованием платежных карт, эмитированных кредитной организацией, а также о несанкционированных операциях, совершенные на территории РФ с использованием платежных карт, эмитированных за пределами территории РФ.
При этом Банк России интересуют все инциденты с платежными картами - совершенные в организациях торговли (по сути магазинах и ресторанах), в пунктах выдачи наличных, в банкоматах и платежных терминалах, а также посредством Интернет и абонентских устройств мобильной связи.
Спустя квартал, 1-го марта Банк России выпускает письмо №34-Т "О рекомендациях по повышению уровня безопасности банкоматов и платежных терминалов", содержащее рекомендации по информационной и, в меньшей степени, физической безопасности банкоматов и платежных терминалов, которые являются одними из самых распространенных устройств, через которые "проходят" платежные карты. В 3-хстраничном письме, в частности, говорится о том, что должны быть реализованы следующие защитные меры:
ЗЫ. Так что банкам стоит уже сейчас готовиться к усилению внимания со стороны отраслевого регулятора, который обратил внимание и на платежные карты, соответствующие электронные средства платежа и устройства, использующие платежные карты и ЭСП, с ними связанные.
Но Банк России не стоит на месте и в конце прошлого года выпускает новое Указание 2926-У от 03.12.2013 «О внесении изменений в Указание Банка России от 12 ноября 2009 года № 2332-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации» которым вводит новые формы отчетности. Среди них и форма отчетности 0409258 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт» и порядок составления и представления отчетности по форме 0409258.
Согласно этой новой отчетности банковские и небанковские кредитные организации обязаны будут с различной периодичностью сообщать о несанкционированных операциях, совершенных на территории и за пределами территории РФ с использованием платежных карт, эмитированных кредитной организацией, а также о несанкционированных операциях, совершенные на территории РФ с использованием платежных карт, эмитированных за пределами территории РФ.
При этом Банк России интересуют все инциденты с платежными картами - совершенные в организациях торговли (по сути магазинах и ресторанах), в пунктах выдачи наличных, в банкоматах и платежных терминалах, а также посредством Интернет и абонентских устройств мобильной связи.
Спустя квартал, 1-го марта Банк России выпускает письмо №34-Т "О рекомендациях по повышению уровня безопасности банкоматов и платежных терминалов", содержащее рекомендации по информационной и, в меньшей степени, физической безопасности банкоматов и платежных терминалов, которые являются одними из самых распространенных устройств, через которые "проходят" платежные карты. В 3-хстраничном письме, в частности, говорится о том, что должны быть реализованы следующие защитные меры:
- Классификация мест установки по степени риска, в т.ч. и подвергнуться воздействию вредоносного кода, а также совершения несанкционированных операций
- Пересмотр классификации по мере развития технологий атак
- Оснащение специальным ПО для выявления и предотвращения атак
- Регулярный контроль действия обслуживающих организаций
- Использование систем удаленного мониторинга состояния банкомата или терминала
- 2 видеокамеры и хранение видеозаписей не менее 60 дней
- Наличие антискиммингового оборудования
- Обнаружение, фиксация атак и их попыток и информирование о них заинтересованных участников рынка розничных платежных услуг и Банка России
- Анализ и выявление уязвимостей после атак или попыток их совершения
- Совершенствование системы защиты
- Обмен информацией с другими кредитными организациями
- Размещение на устройстве рекомендаций по защите PIN
- + требования по физической безопасности банкоматов и платежных терминалов.
ЗЫ. Так что банкам стоит уже сейчас готовиться к усилению внимания со стороны отраслевого регулятора, который обратил внимание и на платежные карты, соответствующие электронные средства платежа и устройства, использующие платежные карты и ЭСП, с ними связанные.
Обобщая вышеизложенное, мы получим очень знакомые контроли ;)
ОтветитьУдалить- Классификация угроз и уязвимостей;
- Выбор контролей (для предотвращения скимминга и внешних атак, защиты PIN);
- Внедрение IDS систем;
- Аспекты физбезопасности;
- Управление инцидентами и проблемами;
- и т.п. ;)