InfoHub Logo

С 12 июля текущего года казахстанцы столкнутся с изменениями при входе в банковские приложения. Теперь простого ввода номера телефона будет недостаточно для подтверждения личности.

Согласно новым правилам, финансовые организации обязаны проводить дополнительную проверку клиентов. Идентификация будет осуществляться через государственную биометрическую базу данных, а также подтверждение принадлежности номера телефона конкретному пользователю.

Усиление мер безопасности

Эти требования закреплены в постановлении Агентства по регулированию и развитию финансового рынка (АРРФР) и вступают в силу с 12 июля. Документ, утвержденный 20 апреля, распространяется на банки, страховые компании и другие финансовые организации, работающие с цифровыми системами.

Постановление вводит единые стандарты, касающиеся всего: от порядка уведомления регулятора о хакерских атаках до правил хранения данных пользователей.

Ответственность руководителей

Одно из ключевых нововведений – возложение персональной ответственности за информационную безопасность на первых руководителей финансовых организаций. Они обязаны утверждать политику защиты данных. Кроме того, каждый новый сотрудник в течение пяти рабочих дней должен ознакомиться с требованиями информационной безопасности и подписать соответствующий документ.

Требования к третьим сторонам

Ужесточенные требования к кибербезопасности теперь распространяются и на подрядчиков, консультантов и технических партнеров, имеющих доступ к системам или данным финансовых организаций. Соответствующие положения должны быть включены во все договоры.

Оперативное информирование о киберинцидентах

Банки и страховые компании обязаны незамедлительно сообщать АРРФР о любых киберинцидентах. Это включает несанкционированный доступ к системам, DDoS-атаки, заражение серверов вредоносным кодом, сбои в идентификации клиентов и несанкционированные переводы средств.

Любой инцидент, вызвавший сбой цифровых систем более чем на один час, также подлежит обязательному раскрытию.

Передача и защита данных

Организации должны передавать информацию через автоматизированную систему уполномоченного органа – АСОИ. В случае ее недоступности компании обязаны уведомить регулятора по телефону с последующим официальным письмом.

Особое внимание уделено защите цифровой инфраструктуры. Все внешние телекоммуникационные соединения финансовых организаций должны быть зашифрованы. Использование открытых каналов передачи данных считается нарушением требований регулятора.

Почтовые сервисы банков и страховых компаний, включая переписку с госорганами и клиентами, должны размещаться исключительно на территории Казахстана. Организации также обязаны использовать механизмы защиты SPF, DKIM и DMARC, предотвращающие подделку отправителя и фишинговые атаки.

Требования к сотрудникам и серверам

Постановление запрещает предоставление сотрудникам прав локального администратора без веских оснований. На серверах, рабочих станциях и ноутбуках должны быть установлены антивирусные системы или средства контроля целостности программной среды. При этом пользователь не должен иметь возможности самостоятельно отключить защиту.

Если финансовая организация использует сторонние дата-центры или облачные сервисы, необходимо исключить доступ третьих лиц к персональным данным, банковской тайне и другой защищаемой информации.

Наиболее заметные изменения для клиентов

Самым очевидным изменением для клиентов станет новый порядок доступа к цифровым услугам. Любой вход в мобильный банк или личный кабинет должен подтверждаться как минимум двумя независимыми факторами аутентификации.

В постановлении предусмотрены три типа факторов: пароль или секретный вопрос, физическое устройство или криптографический ключ, а также биометрические данные. Для авторизации потребуется комбинация любых двух факторов.

Финансовые организации обязаны регистрировать все действия по доступу к системам – как успешные, так и неуспешные, включая IP-адреса, изменения параметров безопасности, учетных записей и прав доступа. Эти данные должны храниться в оперативной доступности не менее трех месяцев и в архиве – не менее года.

Особое внимание уделено новым правилам удаленной регистрации клиентов. Теперь удаленная идентификация включает биометрическую проверку по изображению лица через государственную базу данных и подтверждение владения номером телефона (зарегистрированным в государственной базе мобильных номеров) или через ЭЦП.

Иными словами, теперь нельзя будет просто ввести имя и номер телефона для регистрации в банковском приложении. Система будет сравнивать лицо клиента с государственной базой и удостоверяться, что номер телефона действительно принадлежит этому человеку, а не куплен на чужое имя или получен в результате кражи данных.

Механизмы контроля за выполнением указанных новых требований и санкции за нарушения пока в документе не детализированы. Контроль за исполнением постановления возложен на заместителя председателя АРРФР.

Источник: inbusiness.kz