Как сообщал Spot, Минюст и Центральный банк ввели требования к кибербезопасности при оказании финансовых услуг и предотвращению фрода. Теперь кредитные бюро будут отвечать только на одну заявку о выдаче онлайн-кредита в сутки с одним ПИНФЛ.
Положение (№3759) обозначает дополнительные меры защиты при использовании банковских и платежных мобильных приложений, а также дистанционных финансовых сервисов. Они вступят в силу через три месяца после официальной публикации документа.
Теперь пользователь после регистрации в Click, Paynet, Uzum и подобных сервисах сможет привязывать к аккаунту только банковские счета, карты и электронные кошельки, принадлежащие ему (ей) и близким родственникам.
Сервисы должны будут проверять соответствие ПИНФЛ и телефонных номеров пользователей. В случае их несоответствия приложение отклонит запрос о регистрации в приложении или привязке карты.
Кредитные и платежные организации при биометрической идентификации должны использовать системы, распознающие «живое присутствие» клиента (liveliness detection). Не допускается использование фотографии для авторизации.
Также вводятся дополнительные технические ограничения для мобильных сервисов. Если пользователь трижды неправильно введет код из SMS, присланного оператором для авторизации, вход в приложение будет заблокирован на 15 минут.
При входе в аккаунт мобильного приложения с другого устройства или восстановлении пароля сведения о всех привязанных к аккаунту банковских картах автоматически будeт удаляться.
Вместе с ними будет стираться история финансовых операций по банковским картам, хранившаяся на устройстве. Для повторной привязки карт пользователь должен будет подтвердить личность при помощи биометрии.
OTP-коды для подтверждения операций, связанных с онлайн-кредитами, микрозаймами, депозитами и P2P-переводами, должны действовать только на одном устройстве пользователя — том, на которое поступил код. Время их действия ограничивается 59 секундами.
Каждый P2P-перевод должен подтверждаться при помощи OTP-кода. Запрещается проведение P2P-транзакций через веб-сайты.
Перед проведением любой финансовой операции мобильное приложение должно отображать предупреждение с предложением для пользователя самостоятельно подтвердить, что операция совершается им лично и без влияния мошенников. Операция будет выполнена только после подтверждения.
Еще одним обязательным условием станет ограничение на работу мобильного приложения во время выполнения аудио- и видеозвонков, в том числе через мессенджеры. Также будет запрещено использование сервиса при удаленном управлении аппаратом.
В мобильном приложении и его веб-версии должен быть реализован специальный раздел «Активные сессии». Он должен содержать полную информацию об активных сессиях с указанием устройств, операционных систем, браузеров, IP-адресов и времени начала.
Обязательно наличие для каждой сессии отдельной кнопки «Завершить сессию», по нажатии которой пользователь сможет провести выход из аккаунта на определенном устройстве.
Если пользователь не выполняет какие-либо действия в мобильном приложении или веб-интерфейсе в течение 3 минут, сессия будет автоматически завершаться. Для возврата потребуется снова пройти авторизацию.
При выявлении попытки взлома аккаунта или раскрытии данных, используемых для авторизации, банки и платежные сервисы должны ограничить вход в аккаунт, разрешив его только по биометрии. Также они обязаны известить пользователя об этом по SMS.
Ранее Spot писал, что ЦБ обещал запустить платежи с карт в мобильных приложениях для детей до 18 лет.
