Поправки к положению ЦБ РФ от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» официально опубликованы в «Вестнике Банка России». Документом уточняются правила обеспечения защиты информации при платежах через банкоматы и терминалы, системы интернет-банкинга и мобильного банкинга.

В финальной редакции правил по сравнению с опубликованным ранее проектом передвинут срок выведения из оборота карт только с магнитной полосой. Так, операции по эмитированным российскими банками картам, срок действия которых начинается после 1 июля 2015 года, будут возможны только в том случае, если карты оснащены микропроцессором (допускается вариант одновременного наличия и чипа, и магнитной полосы). По действующим картам и тем, которые будут активированы до 1 июля, операции будут возможны при наличии как микропроцессора, так и только лишь магнитной полосы. Требования касаются и дебетовых карт, и кредитных.

Изначально планировался переход на выпуск исключительно чиповых карт с 1 января 2015 года.

В числе других внедряемых мер по защите платежей через терминальные устройства — требование к операторам по переводу денежных средств о регулярной проверке своих банкоматов и терминалов на предмет несанкционированного вмешательства в программное обеспечение, несанкционированной установки дополнительного оборудования или использования коммуникационных портов. На лицевой панели терминала или рядом должна быть размещена информация для клиента о том, как ему вести себя в нештатных ситуациях, связанных с нарушением защиты информации. Платежный оператор должен обеспечить быстрое отключение терминала в случае выявления вышеописанных нарушений в его работе.

Базовое требование по обеспечению безопасности интернет-операций — «оператор по переводу денежных средств обеспечивает идентификацию, аутентификацию и авторизацию клиента при составлении, удостоверении и передаче распоряжений в целях осуществления переводов денежных средств с использованием сети Интернет, в частности в системах интернет-банкинга». В документе среди прочего уточняются нюансы, связанные с использованием (в случае принятия оператором такого решения), наряду с многоразовым паролем, одноразового кода подтверждения для аутентификации клиента при его входе в интернет-систему или переводе денег через нее.

Предусматривается прекращение предоставления услуги СМС-информирования и обслуживания запросов СМС-банкинга со стороны оператора по переводу денежных средств, если ему стало известно о смене владельца указанного в договоре мобильного номера.

Еще в документе ЦБ содержится пункт об определении банком (оператором по переводу денежных средств) на основании заявления клиента параметров трансакций, которые могут осуществляться с использованием системы интернет-банкинга. Речь идет об установлении максимальной суммы перевода за операцию или период времени, о перечне возможных получателей средств; определении устройств, которые могут использоваться для доступа в систему; услуг, которые могут быть предоставлены таким способом; установлении временного периода, в который могут быть совершены переводы с использованием системы интернет-банкинга.

В случае появления поддельных интернет-ресурсов и программного обеспечения, имитирующих интерфейс или использующих бренд легального интернет-банка, оператор последнего, как только ему стало об этом известно, обязан будет уведомить об этом своих клиентов.

В свою очередь при разработке систем мобильного банкинга должна обеспечиваться защита информации, обрабатываемой в процессе пользования системой, либо программный запрет на запись такой информации на мобильное устройство по окончании сеанса.

Как следует из документа ЦБ, поправки вступят в силу через 180 дней после их официального опубликования в «Вестнике Банка России», то есть в середине марта.