Поправки к положению Центрального банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» официально обнародованы в «Вестнике Банка России».

Законом уточняются правила обеспечения защиты информации при осуществлении платежей через каналы дистанционного банковского обслуживания: платежные терминалы, банкоматы, системы онлайн банкинга и мобильного банка.

В окончательной версии правил, по сравнению с представленным ранее проектом, перенес срок выведения из использования карт только с магнитной полосой.

В частности, операции по выпущенным российскими банками картам, срок действия которых начинается после 1 июля 2015 года, будут разрешены только в том случае, если карта имеет микропроцессор (допускается одновременное наличие и магнитной полосы, и микропроцессора).

По уже выпущенным картам и тем, которые будут активированы до 1 июля, проведение операций будет возможно при наличии как чипа, так и одной магнитной полосы. Требования коснуться и кредитных, и дебетовых карт.

Ранее ожидался такой переход на выпуск только чиповых карт уже с 1 января 2015 года.

В числе остальных внедряемых мер по защите платежей, осуществляемых через дистанционные каналы – требование к операторам по переводу денежных средств регулярно проводить проверку своих терминалов и банкоматов на предмет несанкционированного вмешательства в работу программного обеспечения, инсталляции дополнительного оборудования или неразрешенного использования портов подключения.

На лицевой панели платежного устройства или рядом должна быть размещена информация для клиента о том, что ему делать в ситуациях, несущих угрозу защите информации. Платежный оператор должен создать возможность для быстрого отключения терминала в случае обнаружения вышеуказанных сбоев в его работе.

Главное требование по обеспечению безопасности онлайн операций:

«оператор по переводу денежных средств обеспечивает идентификацию, аутентификацию и авторизацию клиента при составлении, удостоверении и передаче распоряжений в целях осуществления переводов денежных средств с использованием сети интернет, в частности в системах интернет-банкинга».

В документе, помимо прочего, уточняются детали, связанные с использованием (в случае внедрения такого решения оператором), наряду с постоянным паролем, одноразового кода подтверждения для аутентификации клиента при его входе в онлайн банк или переводе денег через него.

Предусматривается приостановка доставки СМС-уведомлений и передача запросов СМС-банкинга со стороны оператора по переводу денежных средств, если ему стало известно о смене владельца указанного в договоре мобильного номера.

Еще в документе Центробанка имеется пункт об определении банком (или оператором по переводу денежных средств) на основании заявления клиента параметров трансакций, которые могут проводиться через системы онлайн банкинга.

Подразумевается:

• возможность настройки максимальной суммы перевода за операцию или период времени;
• выбор услуг, которые могут быть оказаны таким способом;
• определение устройств с помощью которых можно авторизоваться в системе;
• указание перечня возможных получателей средств;
• установка временного периода, во время которого могут осуществляться переводы с использованием системы онлайн банкинга.

В случае обнаружения фальшивых интернет-ресурсов и поддельного программного обеспечения, которые имитируют интерфейс или используют бренд реального интернет-банка, оператор последнего, как только ему стало об этом известно, обязан уведомлять об этом факте своих клиентов.

В свою очередь, при создании систем мобильного банкинга должен обеспечиваться максимальный уровень защиты информации, используемой в процессе взаимодействия пользователей с системой, либо программный запрет на сохранение такой информации в памяти мобильного устройства по завершении сеанса.

Как следует из документа Центрального банка, новые правила вступят в силу через 180 дней после их официального опубликования в «Вестнике Банка России», то есть в середине марта.