ЦБ введет три уровня доверия для финансовых организаций России
Банк России разработал стандарт для повышения безопасности финансовых услуг по удаленной проверке личности клиента. Документ рекомендует дифференцировать меры защиты в зависимости от типа операций, степени важности и риска.
Цель стандарта по безопасности
Центральный Банк (ЦБ) России предложил стандарт безопасности для финансовых услуг, который направлен на защиту клиентов при удаленном подтверждении их личности. Этот подход позволяет предотвратить попытки мошенничества и обеспечивает более высокий уровень защиты при использовании удаленных идентификационных процедур. Соответствующий документ опубликован на официальном сайте регулятора. Однако он носит рекомендательный характер и вступит в силу с 1 июля 2024 г.
Решение ЦБ разработать новый стандарт объясняется тем, что финансовые учреждения используют все чаще онлайн-транзакции и им необходимо сделать их более быстрыми и удобными в связи с ожиданиями потребителей. Но, стремясь сделать все быстро, финансовые учреждения должны быть уверены, что их клиенты - те, за кого они себя выдают. Знать своего клиента - это не просто проверка нормативных документов. Речь идет об установлении личности клиента и обеспечении того, чтобы он не отмывал деньги и не занимался любым другим противоправным действием на территории государства.
Стандарт по безопасности финансовых сервисов при удаленном подтверждении личности клиента — это некий набор правил и процедур, которые проверяют личность клиента. В нем говорится, что финансовые учреждения должны прилагать разумные усилия для ведения записей о существенных фактах по каждому клиенту. При работе с предприятиями или группами финансовые учреждения должны идентифицировать каждое лицо, имеющее право совершать финансовые операции.
Финансовые учреждения должны постоянно хранить актуальную и точную информацию о клиентах, отслеживать счета на предмет подозрительной или незаконной деятельности и сообщать о любых проблемах.
Защита персональных данных
Этот стандарт, объясняет пресс-служба ЦБ, определяет необходимые меры защиты информации для финансовых организаций при проведении дистанционной идентификации и аутентификации клиентов. Эти меры могут варьироваться в зависимости от типа операции и ее значимости, учитывая связанные риски, подчеркивает регулятор.
Данный документ представляет собой набор рекомендаций и мероприятий, неотъемлемых для обеспечения безопасности информации при проверке клиента в финансовых организациях. Регулятор предлагает следовать данной последовательности применения данных мер и способов защиты данных.
Исходя из документа Банка России, следует, что финансовые организации, исходя из риск-ориентированного подхода, должны включать в свои внутренние документы уровни доверия в отношении осуществляемых финансовых операций. При этом необходимо учитывать, что одна и та же финансовая операция может иметь различную степень критичности в зависимости от ее характера и параметров. В связи с этим, организации должны определить конкретные показатели для оценки операционного риска в своих внутренних документах, которые отражают уровень доверия, присущий конкретной финансовой операции.
Уровни доверия идентификации и аутентификации
Одним из основных нововведений являются уровни доверия идентификации (УДИ) и уровни доверия аутентификации (УДА). В документации объясняется, что УДИ устанавливаются в рамках процесса идентификации, в который входят первичная регистрация получателей услуг и вторичная идентификация.
Для финансовых организаций устанавливаются три УДИ: «Некоторая уверенность» (1), «Умеренная уверенность» (2), «Значительная уверенность» (3). В зависимости от УДИ, физическое или юридическое лицо может получить различные финансовые услуги.
УДА работают по схожему принципу. Поставщик услуг должен определять необходимый УДА во внутренних документах для каждой предоставляемой финансовой операции на основании анализа рисков с учетом требований применения.
Уникальный идентификатор пользователя
Новый стандарт устанавливает, что идентификаторами клиента могут выступать номер документа, удостоверяющего личность; уникальный идентификатор Единой системы идентификации и аутентификации (ЕСИА) т.е. портал госуслуг России; номер мобильного телефона, подтвержденный у оператора сотовой связи.
В качестве аутентификационной информации могут выступать данные граждан, определяющие сертификат или открытый ключ устройства. Если такая информация недоступна, следует использовать цифровой отпечаток устройства.
Полученные результаты идентификации и аутентификации, учитывая выбранный уровень доверия, могут применяться в системе управления рисками для определения остаточного риска в целях противодействия осуществлению финансовых услуг без согласия клиента.
Новый стандарт как обобщение требований для онлайн-банкинга
В Банке России подчеркнули необходимость внедрения данного документа, который предназначен для улучшения безопасности людей от киберпреступников, злоупотребляющих личными и финансовыми данными клиентов компаний. К этому сроку финансовые учреждения смогут оценить, соответствуют ли их текущие бизнес-процессы требованиям стандарта.
Основным набором документов Банка России по обеспечению информационной безопасности (ИБ) на момент выхода материала является Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС). Источник на рынке сообщил CNews, что ранее не было стандарта по онлайн-банкингу, а этот существует для «целенаправленного обобщения и детализации требований для онлайн-банкинга».