Банк России обратил пристальное внимание на безопасность платежных карт

Про перевод стандарта PCI DSS под эгидой Банка России я уже писал (перевод осуществляется АБИСС). Это важная новость, последствия которой российским банкам еще предстоит познать.

Но Банк России не стоит на месте и в конце прошлого года выпускает новое Указание 2926-У от 03.12.2013 «О внесении изменений в Указание Банка
России от 12 ноября 2009 года № 2332-У «О перечне, формах и порядке
составления и представления форм отчетности кредитных организаций в
Центральный банк Российской Федерации» которым вводит новые формы отчетности. Среди них и форма отчетности 0409258 «Сведения о несанкционированных операциях,
совершенных с использованием платежных карт» и порядок составления и
представления отчетности по форме 0409258.

Согласно этой новой отчетности банковские и небанковские кредитные организации обязаны будут с различной периодичностью сообщать о несанкционированных операциях, совершенных на территории и за пределами территории РФ с использованием платежных карт, эмитированных кредитной организацией, а также о несанкционированных операциях, совершенные на территории РФ с использованием платежных карт, эмитированных за пределами территории РФ.

При этом Банк России интересуют все инциденты с платежными картами — совершенные в организациях торговли (по сути магазинах и ресторанах), в пунктах выдачи наличных, в банкоматах и платежных терминалах, а также посредством Интернет и абонентских устройств мобильной связи.

Спустя квартал, 1-го марта Банк России выпускает письмо №34-Т «О рекомендациях по повышению уровня безопасности банкоматов и платежных терминалов», содержащее рекомендации по информационной и, в меньшей степени, физической безопасности банкоматов и платежных терминалов, которые являются одними из самых распространенных устройств, через которые «проходят» платежные карты. В 3-хстраничном письме, в частности, говорится о том, что должны быть реализованы следующие защитные меры:

  • Классификация мест установки по степени риска, в т.ч. и подвергнуться воздействию вредоносного кода, а также совершения несанкционированных операций
  • Пересмотр классификации по мере развития технологий атак
  • Оснащение специальным ПО для выявления и предотвращения атак
  • Регулярный контроль действия обслуживающих организаций
  • Использование систем удаленного мониторинга состояния банкомата или терминала
  • 2 видеокамеры и хранение видеозаписей не менее 60 дней
  • Наличие антискиммингового оборудования
  • Обнаружение, фиксация атак и их попыток и информирование о них заинтересованных участников рынка розничных платежных услуг и Банка России
  • Анализ и выявление уязвимостей после атак или попыток их совершения
  • Совершенствование системы защиты
  • Обмен информацией с другими кредитными организациями
  • Размещение на устройстве рекомендаций по защите PIN
  • + требования по физической безопасности банкоматов и платежных терминалов.

Все? Нет, не все. Как говорилось в Магнитогорске,  сейчас готовится новая редакция указания 2831-У по отчетности по вопросам защиты информации при осуществлении переводов денежных средств и в ней немало внимания будет уделено защите банкоматов и платежных терминалов с подробной детализацией места и условий возникновения инцидента. Эта отчетность дополнит сведения, предусмотренные упомянутой выше формой 0409258.

ЗЫ. Так что банкам стоит уже сейчас готовиться к усилению внимания со стороны отраслевого регулятора, который обратил внимание и на платежные карты, соответствующие электронные средства платежа и устройства, использующие платежные карты и ЭСП, с ними связанные.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Unknown

    Обобщая вышеизложенное, мы получим очень знакомые контроли 😉
    — Классификация угроз и уязвимостей;
    — Выбор контролей (для предотвращения скимминга и внешних атак, защиты PIN);
    — Внедрение IDS систем;
    — Аспекты физбезопасности;
    — Управление инцидентами и проблемами;
    — и т.п. 😉

    Ответить