ЦБ рекомендовал банкам РФ усилить защиту своих услуг в интернете
В частности, регулятор предложил банкам применять более совершенные механизмы защиты информации при осуществлении клиентами в интернете различных операций с помощью банковской карты: многофакторную аутентификацию, динамическую аутентификацию и подтверждение операций с помощью одноразовых паролей.
К примеру, уточняется в письме, при многофакторной аутентификации держатель карты, совершая покупку в интернете, для получения доступа к услуге одновременно использует персональный идентификатор, вводит пароль и предоставляет сканер отпечатков пальцев.
В свою очередь, при динамической аутентификации на одном из этапов владелец карты вводит пароль, имеющий ограниченный срок действия и ограничение на число использований.
Регулятор в письме также рекомендовал банкам проводить анализ рисков нарушения защиты информации и пересматривать его результаты на регулярной основе - не реже чем раз в два года. "Адекватна ли система защиты банка тем уровням угроз, которые за двухлетний период существенно поменялись? Скорей всего, они (угрозы - ред.) существенно поменялись и потребуется пересмотреть (систему защиты - ред.)", - пояснили в ЦБ.
КТО ИНФОРМИРОВАН, ТОТ ВООРУЖЕН
Банк России призвал кредитные организации повышать финансовую грамотность населения. Представитель ЦБ пояснил, что для этого банк может, к примеру, размещать на своем сайте различные памятки или видеоролики по безопасному использованию пластиковых карт.
Банкам предлагается информировать клиентов обо всех неудачных попытках операций, проводимых через интернет, и предоставлять право клиентам останавливать или ограничивать несанкционированные действия.
Вместе с тем желательно информировать клиента о возможной приостановке получения доступа к услугам, происходящей по инициативе банка, с пояснением причин, а также о способах и сроках возобновления операций, считает регулятор.
Также ЦБ предлагает банкам устанавливать в технической системе период времени, в течение которого пользователь не производит действий в интернете, так называемый период "бездействия", по истечении которого возможность осуществления операции блокируется, а клиенту необходимо вновь авторизоваться.
В свою очередь, банкам рекомендуется осуществлять мониторинг розничных услуг с использованием интернета, выявляя определенные критерии повышенного внимания к операциям. Предлагается включать в договор, предоставляющий клиенту возможность получать розничные платежные услуги в интернете, положение, устанавливающее лимиты операций.
К примеру, устанавливать максимальный размер операции, определять список возможных получателей денежных средств. В случае предоставления такой возможности проводить аутентификацию для подтверждения суммы лимитов.
К примеру, уточняется в письме, при многофакторной аутентификации держатель карты, совершая покупку в интернете, для получения доступа к услуге одновременно использует персональный идентификатор, вводит пароль и предоставляет сканер отпечатков пальцев.
В свою очередь, при динамической аутентификации на одном из этапов владелец карты вводит пароль, имеющий ограниченный срок действия и ограничение на число использований.
Регулятор в письме также рекомендовал банкам проводить анализ рисков нарушения защиты информации и пересматривать его результаты на регулярной основе - не реже чем раз в два года. "Адекватна ли система защиты банка тем уровням угроз, которые за двухлетний период существенно поменялись? Скорей всего, они (угрозы - ред.) существенно поменялись и потребуется пересмотреть (систему защиты - ред.)", - пояснили в ЦБ.
КТО ИНФОРМИРОВАН, ТОТ ВООРУЖЕН
Банк России призвал кредитные организации повышать финансовую грамотность населения. Представитель ЦБ пояснил, что для этого банк может, к примеру, размещать на своем сайте различные памятки или видеоролики по безопасному использованию пластиковых карт.
Банкам предлагается информировать клиентов обо всех неудачных попытках операций, проводимых через интернет, и предоставлять право клиентам останавливать или ограничивать несанкционированные действия.
Вместе с тем желательно информировать клиента о возможной приостановке получения доступа к услугам, происходящей по инициативе банка, с пояснением причин, а также о способах и сроках возобновления операций, считает регулятор.
Также ЦБ предлагает банкам устанавливать в технической системе период времени, в течение которого пользователь не производит действий в интернете, так называемый период "бездействия", по истечении которого возможность осуществления операции блокируется, а клиенту необходимо вновь авторизоваться.
В свою очередь, банкам рекомендуется осуществлять мониторинг розничных услуг с использованием интернета, выявляя определенные критерии повышенного внимания к операциям. Предлагается включать в договор, предоставляющий клиенту возможность получать розничные платежные услуги в интернете, положение, устанавливающее лимиты операций.
К примеру, устанавливать максимальный размер операции, определять список возможных получателей денежных средств. В случае предоставления такой возможности проводить аутентификацию для подтверждения суммы лимитов.