Из-за роста числа мошенничеств во время дистанционных платежей Центральный банк решил ужесточить требования к организациям и сайтам, которые принимают дистанционные платежи. Среди нововведений – требование использовать только сертифицированное программное обеспечение, а также регулярно анализировать уязвимость системы.
Что случилось?
На едином портале размещения проектов нормативных актов опубликованы поправки в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». В поправках сказано, что операторы по переводу денежных средств и операторы услуг платежной инфраструктуры должны:
- использовать сертифицированное прикладное программное обеспечение автоматизированных систем и приложений;
- ежегодно тестировать и анализировать уязвимости информационной безопасности системы, привлекая организацию, имеющую соответствующую лицензию;
- определить ограничения по параметрам операций, которые могут осуществляться клиентом с использованием системы Интернет-банкинга. Среди возможных критериев:
- максимальная сумма перевода за одну операцию и за определенный период времени;
- перечень возможных получателей денежных средств;
- временной период, в который могут быть совершены переводы;
- географическое местоположение устройств, с использованием которых может осуществляться подготовка и (или) подтверждение клиентом электронных сообщений;
- перечень идентификаторов устройств, с использованием которых может осуществляться подготовка и (или) подтверждение клиентом электронных сообщений;
- перечень предоставляемых услуг, связанных с осуществлением переводов денежных средств;
- регулярно информировать Банк России о выявленных инцидентах нарушения безопасности и мероприятиях, предпринимаемых для раскрытия соответствующей информации.
Кроме того, уточнены обязанности операторов при подтверждении платежей. Клиенты должны не просто получать код для подтверждения операции, но и быть уведомленным о том, кому, сколько и за что перечисляет деньги.
Почему это важно?
С точки зрения потребителей поправки, предложенные ЦБ РФ, будут обеспечить защиту их денег от мошенников. Однако для предпринимателей новые требования ЦБ потребуют определенных капиталовложений, например, на оплату услуг сторонней организации, которая будет тестировать уровень уязвимости системы.
Что делать?
Часть требований могут вступить в силу уже в следующем году. Что касается проведения ежегодного анализа и тестирования, а также введения конкретных ограничений для клиентов, то в ЦБ хотят, чтобы эти обязанности вступили в силу с 1 июля 2020 года. Так что у предпринимателей еще есть время подготовиться.
