Рекомендации по безопасности ДБО от Европейского центрального банка

03.05.12 | Раздел публикации: Защита персональных данных

Европейский центральный банк (European Central Bank, ECB) опубликовал список рекомендаций для повышения уровня безопасности интернет-платежей. Документ содержит 14 директивных пунктов, которые должны исполняться всеми поставщиками услуг дистанционного банковского обслуживания для защиты клиентов от интернет-мошенничества.

Рекомендации ЕЦБ по безопасности дистанционного банковского обслуживания разделены на три большие группы: оценка и контроль рисков интернет-платежей; безопасность совершения транзакций через интернет, как на стороне поставщика услуг, так и на стороне клиента; и, наконец, комплекс мероприятий просветительского характера для предупреждения клиентов о возможных рисках и необходимых мерах безопасности.

В основе рекомендаций Европейского центробанка лежит принцип многоуровневой аутентификации клиента. Провайдерам услуг ДБО рекомендуется ввести процедуру двух- и более уровневой аутентификации личности клиента, для чего предлагается на выбор следующие уровни проверки:

  • Средства логической аутентификации: логин, пароль, идентификационный номер;
  • Средства физической аутентификации: токены, смарт-карты, мобильные телефоны;
  • Средства биометрической аутентификации: например, отпечатки пальцев.

В соответствии с Рекомендациями, каждый уровень проверки личности должен быть защищён независимо от других, то есть взлом одного рубежа безопасности не даёт злоумышленнику открытый доступ к другому (другим). Кроме того, поставщикам услуг ДБО предписывается использовать как минимум один элемент защиты, который не может быть подделан или похищен через интернет.

С полным текстом рекомендаций по безопасности интернет платежей можно ознакомиться на сайте Европейского центрального банка (документ в формате .pdf).

--------------------------------------------------------------

Комментарий SafenSoft:

Рекомендации ЕЦБ по безопасности интернет-платежей демонстрируют положительные тенденции мирового банковского сообщества по вопросам повышения уровня защищённости систем ДБО, которые становятся всё более популярными, и, соответственно, привлекают всё большее внимание злоумышленников.

В данных рекомендациях впервые указано о необходимости анализа технологических рисков интернет-банкинга, связанных с используемым как на клиентской, так и провайдерской стороне программным обеспечением и его уязвимостями. Это совершенно необходимый для развития вектор информационной безопасности дистанционного обслуживания. В данный момент процедуры дистанционного банковского обслуживания с использованием приложений «банк-клиент» строятся на основе «потребительского» ПО, слабозащищённых узлов передачи и обработки информации. Кроме того, внедрение средств защиты для соответствия рекомендациям безопасности интернет-банкинга не должно радикально изменять структуру процессинга ДБО, это в равной степени невыгодно как для банков, так и для их клиентов (особенно организаций).

По мнению экспертов SafenSoft, оптимальным вариантом защиты интернет-платежей является сочетание многоуровневой аутентификации с полной защитой программной среды компьютера и системы «банк-клиент» от любых неавторизованных вмешательств.

  • Аутентификация производится как на уровне пользователя (логин, пароль), так и на аппаратном уровне (проверка контрольной суммы устройства). Для этого приложение «клиент-банк» привязывается к аппаратной части (компьютеру бухгалтера клиента), а в систему процессинга вводится специальный банковский сервер авторизованной загрузки и мониторинга SaaS.
  • Полная защита компьютера клиента от любых неавторизованных вмешательств, подозрительных обновлений и вредоносного ПО. Тотальный контроль за выходом в интернет (с возможностью ограничения доступа на любые ресурсы, кроме IP-адресов банка).

Такую систему защиты ДБО банк может поставлять на компьютеры своих клиентов (юридических лиц) или распространять на USB-носителях (загрузочный привод USB с операционной системой и защищённым приложением «клиент-банк»).

Каталог продукции SafenSoft

            Популяные материалы:
   
  • Мошенничества с использованием коротких номеров
• Сведения о деятельности финансовых пирамид
• Относятся ли видеоматериалы системы видеонаблюдения к персональным данным?
• Применение нулевой ставки по налогу на прибыль образовательными и медицинскими организациями
• Что такое вредоносные программы и как обезопасить себя в Интернете?
• Об утверждении формы бланка листка нетрудоспособности
• Допустимо ли финансирование одного инвест. проекта за счет целевых средств под другой инвестиционный проект?
• Можно ли заключить агентский контракт со сторонней аутсорсинговой компанией, одновременно привлекая при этом своих транспортных партнеров?
 






Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.