“Зарегистрировано” “Утверждено” Министерством юстиции

“Зарегистрировано”
Министерством юстиции
Республики Таджикистан
“Утверждено”
Постановлением Правления
Национального банка
Таджикистана
от 26 сентября 2013 г. за №235
От «20» ноября 2013 г., за №721
Инструкция №201
«О дистанционных банковских услугах»
Инструкция «О дистанционных банковских услугах» (далее - Инструкция)
разработана в соответствии со статьей 3 Закона Республики Таджикистан «О
банковской деятельности», и устанавливает порядок предоставления кредитными
организациями дистанционных банковских услуг.
Глава 1. Общие положения
1.
В настоящей Инструкции используются следующие понятия:
–
дистанционные банковские услуги (электронный банкинг) –услуги,
предоставляемые кредитными организациями для проведения банковских
операций с использованием программно-технических и телекоммуникационных
средств, которые позволяют клиенту иметь дистанционный доступ к своему
банковскому счету, получения информации о проведенных операциях и остатках
денежных средств на счете;
– клиент – физическое или юридическое лицо, заключившее с кредитной
организацией договор банковского обслуживания или договор о предоставлении
дистанционных банковских услуг;
– идентификация – процедура, в результате выполнения которой
обращающийся субъект с индивидуальным и уникальным идентификатором,
который был зарегистрирован в информационной системе, идентифицируется и
подтверждается.
Для
выполнения
процедуры
идентификации
в
информационной системе клиенту предварительно должен быть присвоен
соответствующий идентификатор (то есть, клиент должен быть зарегистрирован в
информационной системе).
– аутентификация – процедура подтверждения подлинности внесенного пароля
пользователя с паролем в информационной системе путем сравнения;
– персональный идентификационный номер – персональный код,
присвоенный эмитентом держателю банковской платёжной карты (далее - карта)
с целью его идентификации при осуществлении операций с использованием
карт;
– информационная система – комплекс технических средств, программное и
организационное обеспечение для предоставления дистанционных банковских
услуг;
1
– интернет - браузер – программное обеспечение для просмотра сайтов.
2.
Дистанционные банковские услуги предоставляются удаленно по каналам
связи посредством персональных компьютеров, телефонов, банкоматов (АТМ),
электронных терминалов, в том числе автоматизированных терминалов
самообслуживания и иными способами, не противоречащими законодательству
Республики Таджикистан.
Глава 2. Контроль в кредитных организациях при предоставлении
дистанционных банковских услуг
3.
Кредитные организации несут ответственность за разработку стратегии
внедрения дистанционных банковских услуг и должны обеспечить эффективный
контроль за процессом предоставления данных услуг. С этой целью кредитные
организации должны:
- разработать и утвердить свои внутренние нормативные документы,
определяющие порядок и условия предоставления дистанционных
банковских услуг;
- внести соответствующие дополнения и изменения в политику
информационной безопасности в связи с оказанием дистанционных
банковских услуг.
Глава 3. Управление рисками и внутренний контроль
4.
Кредитные организации обязаны осуществлять контроль за исполнением и
совершенствованием
существующей
политики
управления
рисками,
возникающие при предоставлении дистанционных банковских услуг, согласно
нормативному правовому акту Национального банка Таджикистана о
требованиях к системе управления рисками и внутреннего контроля в кредитной
организации.
5.
Кредитные организации обязаны разработать и внедрить комплексную
программу по информационной безопасности дистанционных банковских услуг.
6.
Программа информационной безопасности дистанционных банковских
услуг как минимум должна содержать следующие аспекты:
- выявление и оценка рисков, связанных с предоставлением дистанционных
банковских услуг;
- определение мер по снижению рисков, в том числе, применение
соответствующих технологий идентификации клиента и норм внутреннего
контроля;
- определение
мер
по
защите
информации
клиента
от
несанкционированного доступа и обеспечение целостности данной
информации;
- оценка мер по информированию клиентов.
2
7.
Кредитные организации, по мере необходимости, обязаны корректировать
и обновлять свою программу информационной безопасности в соответствии с
любыми изменениями в технологии предоставления дистанционных банковских
услуг, при обнаружении уязвимости в информационных системах, а также при
возникновении
внешних
или
внутренних
угроз
относительно
конфиденциальности и целостности информации.
8.
Кредитные организации при предоставлении дистанционных банковских
услуг обязаны гарантировать, что необходимые меры по информационной
безопасности и внутреннего контроля установлены, выполняется их обновление,
проводится мониторинг и оценка возможных рисков.
9.
С целью защиты клиентов от мошенничества, кражи и других
правонарушений, связанных с дистанционными банковскими услугами
кредитные организации обязаны внедрить следующие минимальные требования
безопасности:
а)
для банкоматов и терминалов самообслуживания (далее - терминалы):
- устанавливать банкоматы и терминалы в видных местах;
- обеспечить достаточное освещение вокруг банкоматов и терминалов;
- установить в банкоматах камеры видеонаблюдения для записи действий
пользователей. Эти записи должны храниться кредитной организацией в
течение не менее 45 дней;
- информировать клиентов о возможных рисках, связанных с использованием
банкоматов и терминалов, а также о мерах предосторожности;
- в местах установления банкоматов и терминалов регулярно проводить
проверки по безопасности и документировать результаты проверок;
- организовать центры поддержки (Call–center) и обеспечить их ежедневную
и непрерывную работу;
- поместить на банкомате или терминале, указатель принадлежности к
кредитной организации, логотипы платёжных систем, карты которых
принимаются к обслуживанию банкоматом или терминалом, контактные
номера телефонов, а также номера телефонов ближайшего отделения
милиции, для обращения в чрезвычайных ситуациях.
б)
для Интернет-банкинга и мобильного банкинга:
- использование экранной клавиатуры;
- использование защищенных сетевых протоколов;
- применение механизмов предотвращения мошеннической подмены вебстраниц сервера Интернет банкинга;
- использование многофакторной идентификации;
- применение политики предусматривающей использования сложных
паролей и их регулярное изменение;
- использование механизма предотвращения автоматического подбора
паролей;
3
- использования механизма блокировки сеанса соединения с сервером
Интернет банкинга при бездействии пользователя сверх установленного
промежутка времени.
10.
Кредитные организации должны постоянно изучать противозаконные
действия, связанные с использованием банкоматов и терминалов.
11.
Кредитные организации обязаны предоставлять в Национальный банк
Таджикистана информацию о правонарушениях и фактах мошенничества при
предоставлении дистанционных банковских услуг.
12.
Кредитные организации должны отслеживать, внедрение новых стандартов
безопасности и проверенную практику, быть в курсе современных
информационных технологий и нововведений в области защиты информации.
13.
Для обеспечения идентификации своих клиентов, использующих
дистанционные банковские услуги, кредитные организации должны применять
методики, соответствующие возможным рискам.
Применение соответствующих способов идентификации должны быть
определенны в процессе оценки рисков. Используемые способы должны
учитывать следующие аспекты: вид систем дистанционных банковских услуг
(информационный или операционный), разновидность систем (АТМ - банкинг,
системы «клиент-банк», интернет-банкинг, мобильный банкинг и другие) статус
клиента (юридическое или физическое), вид операций разрешенных системой,
объём и количество операций.
14.
Кредитные организации должны отслеживать, оценивать и внедрять новые
технологии идентификации клиента, а также в зависимости от вида операции и
уровня доступа обеспечивать внедрение соответствующих изменений в систему
идентификации клиента на основе существующих факторов риска. Если оценка
риска определяет недостаточный уровень безопасности при применении
идентификационных мер, основанных на единичном факторе (например
пароль/код), кредитным организациям следует использовать многофакторные
меры идентификации (например, пароль/код/одноразовый код, номер карты и
персональный идентификационный номер).
15.
Для снижения возможных рисков кредитные организации могут
применять многоуровневую систему безопасности (например, обслуживание с
определенного IP-адреса, временной интервал обслуживания и другие).
16.
Кредитные организации, при предоставлении дистанционных банковских
услуг и электронной торговли должны открывать новые банковские счета в
соответствии с общепринятыми правилами “знай своего клиента”, требующих
личное присутствие клиента при открытие счета.
Глава 4. Система мониторинга и оценка операций
17.
Кредитные организации при предоставлении дистанционных банковских
услуг должны иметь систему мониторинга, включающую функцию аудита и
4
способную определять неавторизированные действия в информационных
системах.
18.
Кредитные организации для определения неавторизированных действий,
выявления вторжений в информационную систему, восстановления событий и
отслеживания хода нарушения безопасности информационной системы должны
вести регистрационные журналы.
19.
Незамедлительно приостановить доступ к банковскому счету клиента при
обнаружении фактов несанкционированного доступа или неавторизованных
действий.
20.
В
целях
обеспечения
контроля
и
управления
безопасностью
информационной системы, независимый орган (то есть, внутренний или
внешний аудит) должен проводить анализ отчетов, в которых отражены действия
администратора по безопасности.
21.
При управлении системами или процессами, связанных с предоставлением
дистанционных банковских услуг, третьей стороной, данная сторона должна
обеспечить выполнение требований по безопасности, предъявляемые к
кредитным организациям согласно настоящей Инструкции.
Глава 5. Программа информированности клиента и доступность услуг
22.
Кредитные организации должны предоставлять своему клиенту
минимальную программу информирования по обеспечению безопасности при
осуществлении операций в рамках предоставления дистанционных банковских
услуг и защите персональных данных, приведенных в Приложении №1
настоящей Инструкции.
23.
Кредитным организациям следует разработать эффективные методы
коммуникации с клиентами для передачи информации о безопасности. В этих
целях возможно использование нескольких каналов (например, веб-страница
банка, смс-оповещение на мобильный телефон клиента, сообщения на
банковских выписках, брошюры, а также прямое общение с клиентом при
обслуживании в банке).
24.
Кредитные организации должны внедрять и регулярно оценивать
программы информирования клиента и обеспечить необходимый уровень
доверия клиентов при предоставлении дистанционных банковских услуг.
25.
В целях минимизации рисков, при предоставлении дистанционных
банковских услуг, кредитные организации должны предоставлять клиенту
информацию о правах и обязанностях сторон и принимать необходимые меры
по обеспечению безопасности персональных данных клиента и защите его прав.
26.
Кредитные организации должны иметь эффективный потенциал для
обеспечения непрерывности своей деятельности (например, доступность к
услугам 24 часа в сутки 7 дней в неделю (24/7)). Кредитные организации должны
разработать и поддерживать в актуальном состоянии стратегию взаимодействия
5
и эффективный механизм реагирования на происшествия, связанные с
непредвиденными обстоятельствами.
27.
Кредитные организации, при осуществлении банковской операции
посредством дистанционных банковских услуг, должны применять те же
процедуры оформления документов и условия их хранения, которые
предусмотрены для банковской операции на бумажной основе.
Глава 6. Договорные отношения между кредитной организацией и
клиентом
28.
Дистанционные банковские услуги предоставляются на основании
договора банковского обслуживания, в котором указаны условия предоставления
дистанционных банковских услуг и как минимум договор должен содержать
следующие данные:
- перечень
банковских операций,
которые
могут
осуществляться
посредством предоставления дистанционные банковские услуги;
- способы предоставления дистанционных банковских услуг и получения
доступа к ним (через Интернет, линии связи, телефон, персонального
компьютера и других устройств);
- права и обязанности клиента и кредитной организации при
предоставлении дистанционных банковских услуг;
- процедуры безопасности, включая порядок аутентификации
и
подтверждения прав клиента на использование дистанционных банковских
услуг;
- ответственность сторон за неисполнение своих обязательств, возникающих
при предоставлении кредитной организацией дистанционных банковских
услуг;
- основания
приостановления
и
прекращения
предоставления
дистанционных банковских услуг со стороны кредитной организации;
- способы оповещения клиента в случае изменения условий договора;
- способы предоставления жалоб и претензии клиента, условия их
рассмотрения и решения;
- тарифы и комиссии при предоставлении дистанционных банковских услуг;
- номера телефонов для обслуживания клиентов.
Глава 7. Рассмотрение претензий
29.
При получении претензий от клиента о неавторизированной операции по
банковскому счету кредитным организациям необходимо обеспечить наличие
средств регистрации претензий, рассмотрения и при необходимости проведения
расследования. Также, кредитным организациям необходимо разработать
процедуры разрешения спорных/конфликтных ситуаций, связанных с
использованием продуктов дистанционных банковских услуг.
6
Приложение №1
к Инструкции № 201
«О дистанционных банковских услугах»
Программа информированности клиента при предоставлении
дистанционных банковских услуг
Для обеспечения безопасности в процессе проведения операций в
рамках дистанционных банковских услуг и защиты персональных данных,
клиенты должны быть проинформированы о своей обязанности и
ответственности. Программа информированности клиента предусмотрена для
обеспечения безопасности информации при предоставлении дистанционных
банковских услуг и содержит следующее:
а)
безопасный логин и пароль/персональный идентификационный номер:
- не раскрывать свой логин, пароль и персональный идентификационный
номер;
- не хранить свой логин, пароль и персональный идентификационный номер
в компьютере;
- необходимо
регулярно
менять
код,
пароль
и
персональный
идентификационный номер, не использовать легкие пароли, как имя или
дата рождения. Пароль должен содержать не менее 6 знаков комбинацию
из букв (прописных и заглавных), специальных символов и цифр.
б)
конфиденциальность личной информации:
- не раскрывать личную информацию такую как адрес, девичье имя матери,
номер телефона или паспорта, номер банковского счета или адрес
электронной почты, лицам, в надежности которых нет доверия;
в)
сохранять информацию об электронных операциях:
- необходимо регулярно проверять историю операций и выписки для
отслеживания ошибок или неавторизированных операций по счету;
- незамедлительно информировать кредитную организацию о любых
случаях неавторизированного использования счета или проведения
операций.
г)
проверять правильность и безопасность веб-страницы:
- перед осуществлением любых он-лайн операций или предоставление
личной информации, необходимо убедиться, что используется правильная
веб-страница интернет-банкинга. Необходимо остерегаться фальшивых
веб-страниц, созданных в целях мошенничества;
- необходимо убедиться в безопасности веб-страницы, проверив наличие
Унифицированных Указателей Ресурсов (URL), которые должны
начинаться с "https", а на статусе интернет-браузера должен появиться знак
защищенного соединения;
7
-
д)
е)
ж)
-
-
з)
и)
-
всегда вводить URL веб-страницы непосредственно в интернет- браузер.
Избегать перенаправления или ссылки на другие ненадежные страницы;
по возможности, необходимо использовать программу, которая
автоматически шифрует или кодирует личную информацию в процессе
осуществления электронных операций;
защитить свой компьютер от несанкционированного доступа и
вредоносных программ:
установить личный межсетевой экран и антивирусную программу;
следить за регулярным обновлением антивирусной программы и ее
постоянной работой;
не загружать программы или файлы с источников не вызывающих
доверия;
не оставлять включенный компьютер без присмотра:
необходимо покинуть сайт, где осуществляются электронные операции,
даже если компьютер оставлен без присмотра на короткий срок;
не забывать выходить из системы после осуществления электронных
операций;
очистить кэш память и историю посещенных страниц после выхода из
системы.
ознакомиться с политикой безопасности сайта:
необходимо внимательно ознакомиться с условиями сайта относительно
осуществления платежей, переводов, дебетования/ кредитования счета и
другими условиями банковского обслуживания;
перед вводом личной финансовой информации на веб-сайт, необходимо
внимательно
ознакомиться
с
условиями
использования
или
распространения данной информации.
мобильный банкинг:
не раскрывать свой персональный идентификационный номер мобильного
банкинга (MPIN) посторонним лицам;
регулярно менять свой персональный идентификационный номер,
используемый для мобильного банкинга;
не позволять другим использовать свой мобильный телефон, через
который осуществляется банковская операция.
при потере или краже мобильного телефона, нужно незамедлительно
сообщить в обслуживающую кредитную организацию.
другие меры безопасности:
не отправлять свою личную информацию, особенно пароль или
персональный идентификационный номер через электронную почту;
избегать использования чужих компьютеров для электронных операций;
отключить функцию "общие файлы" при осуществлении электронных
банковских операций.
необходимо связаться с кредитной организацией при возникновении
любых вопросов относительно безопасности банковского счета.
8
Необходимые меры для обеспечения безопасного хранения карт, их
реквизитов, персонального идентификационного номера
и безопасности
других данных определены в “Рекомендации безопасного использования
банковских платежных карт”, которые утверждены Постановлением
Правления Национального банка Таджикистана от 26 апреля 2012 год, №82.
9