Организация обеспечения безопасности платежных систем

Кардинально новыми являются требования по информированию оператора платежной системы об обеспечении защиты информации при осуществлении переводов денежных средств. В частности, субъекты платежной системы обязаны уведомлять оператора платежной системы:

о степени выполнения требований к обеспечению защиты информации;

о реализации порядка обеспечения защиты информации;

о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации;

о результатах проведенных оценок соответствия;

о выявленных угрозах и уязвимостях в обеспечении защиты информации.

Положение № 382-П устанавливает рях дополнительных требований, не предусмотренных в СТО БР ИББС-1.0:

Защита от скимминга (п.2.6.7 Положения № 382-П)

Теперь необходимо обеспечить контроль отсутствия размещения на платежных терминалах и банкоматах специализированных средств, предназначенных для несанкционированного считывания треков платежных карт

Приостановка клиентами своих платежей (п.2.6.9 Положения № 382-П)

Операторы по переводу денежных средств должны обеспечить клиентам возможность приостановления (блокирования) приема к исполнению распоряжений об осуществлении денежных переводов от их имени

Информирование о вирусном заражении (п.2.7.5 Положения № 382-П)

В соответствии с этим требованием, теперь необходимо уведомлять о фактах обнаружения и (или) воздействия вредоносного кода оператора платежной системы и прочих субъектов платежной системы

Защита от внешних атак (п.2.8.1 Положения № 382-П)

При использовании сети Интернет для осуществления переводов денежных средств необходимо реализовать комплекс мер, позволяющих снизить тяжесть последствий от атак, целью которых является создания условий для невозможности предоставления услуг по переводу денежных средств или несвоевременности осуществления переводов денежных средств.

Защита от фишинга (п.2.8.2 Положения № 382-П)

Операторы по переводу денежных средств теперь обязаны предоставлять клиентам рекомендации по защите информации от несанкционированного доступа путем использования ложных (фальсифицированных) ресурсов сети Интернет.