Какие меры безопасности требует Центральный банк от банков при проведении операций через Интернет?

Центральный банк (BCU) подробно описал стандарты безопасности, которые он требует от банков при проведении операций с помощью электронных средств (например, через Интернет), а также указал, какие аспекты не охватываются правилами, на фоне жалоб на мошенничество или аферы такого рода и в ответ на запрос о доступе к публичной информации. В запросе, поданном Виктором Амаралом (и опубликованном на сайте Главного управления финансовых услуг BCU), содержится просьба «рассказать о протоколах, мерах безопасности, правилах или директивах, которые требуются от банковских учреждений в случаях полного снятия денег или крупных сумм, особенно если они осуществляются через Интернет». В нем также задаются те же вопросы в случае займов, взятых через Интернет. Последнее относится к недавней афере с участием человека, который хотел продать кресло, а его попросили оформить кредит на его имя. БЦУ через Управление финансовых услуг ответило, что «центральные банковские правила не определяют особых условий в случае полного снятия или снятия больших сумм денег клиентами», то есть когда это происходит лично в отделении банка. «Однако в случае операций с использованием электронных средств (например, операций в Интернете) нормативные акты требуют от учреждений принятия мер, гарантирующих безопасность системы, включая методики аутентификации и уровни доступа для обеспечения того, чтобы операции осуществлялись уполномоченными лицами», - говорится в сообщении Центрального банка. «В частности, для переводов или платежей в пользу третьих лиц, осуществляемых с банковского счета, требуется как минимум двойной фактор аутентификации (статья 364 i. Сборника правил регулирования и контроля финансовой системы)», - добавили в ЦБ. Например, двухфакторная аутентификация может представлять собой пароль для доступа к сайту или приложению банка, а затем динамический ключ или PIN-код, когда вы хотите осуществить перевод или платеж в пользу третьих лиц». БКУ также напомнил, что «пункт i. выше также требует от учреждений установить меры мониторинга и контроля для выявления нарушений, связанных с использованием инструмента или системы, в которой он функционирует». Среди таких нарушений в постановлении центрального банка упоминаются: «изменения и попытки изменения пароля, персонального идентификационного номера, адреса, контактного телефона и электронной почты, средств, установленных для получения сообщений, среди прочего». Кроме того, в пункте i. Упомянутая выше статья требует от банков, чтобы их система «обеспечивала, как минимум: даты и время проведения операций; содержание сообщений; идентификацию операторов, отправителей и получателей; счета и суммы; механизм аутентификации пользователя, используемый при проведении операции; идентификацию терминала, с которого была проведена операция (Н. Р.: это, например, в случае банкоматов); а также то, была ли операция проведена лично или удаленно». Наконец, БКУ ответил на другой вопрос пользователя о том, какие меры безопасности он требует от банков в случаях, когда кредиты оформляются через Интернет. В связи с этим в Главном управлении финансовых услуг отметили, что «в отношении заключения договоров о предоставлении кредитов через Интернет не существует специального нормативного акта, а идентификация контрагентов является обязанностью учреждений». В любом случае, БКУ планирует включить в нормативный акт требования к банкам в этой области. В конце августа Высшая инспекция финансовых услуг БКУ провела консультации с учреждениями, находящимися под ее надзором (например, банками), и общественностью относительно «проекта постановления, вносящего изменения в Сборник правил регулирования и контроля финансовой системы относительно обязательств для эмитентов электронных инструментов с целью защиты пользователей от возможного мошенничества». В связи с этим, в вышеупомянутом пункте i. Статья 364 включает в себя «в области усиленной аутентификации клиентов - „ расширение “действующего в настоящее время обязательства эмитентов применять двойной фактор аутентификации к переводам или платежам третьим лицам, осуществляемым с банковского счета, к переводам на собственные счета пользователя в другом учреждении и к заявкам на кредит, которые были сделаны в неличной форме». Иными словами, человек будет иметь двойной фактор аутентификации и при переводах на собственные счета в других учреждениях, и при оформлении онлайн-заявок на кредит. BCU предлагает еще одно нормативное изменение, которое было вынесено на обсуждение. «Что касается пункта n. статьи 364 (уведомления пользователю): обязанность предоставлять пользователю возможность получать уведомления каждый раз, когда обрабатывается транзакция, заменяется обязанностью направлять такие уведомления пользователю. При этом сохраняется возможность для пользователя впоследствии изменить параметры этих уведомлений или принять решение об отказе от их получения», - говорится в документе. Другими словами, вместо того чтобы предоставить банку или клиенту электронных денег возможность получать уведомления при каждой транзакции (покупке карты, переводе, заявке на кредит и т. д.), это становится обязательным. В любом случае клиент может изменить параметры уведомлений (например, только в случаях, превышающих определенную сумму) или принять решение не получать их. Уведомление позволяет клиенту позвонить в банк или эмитенту электронных денег и во многих случаях остановить операцию, если он не совершал ее.