Jak banki powinny dbać o bezpieczeństwo przelewów?
Wzrasta liczba „incydentów bezpieczeństwa” w bankowości internetowej. - Dostawcy powinni udostępniać klientom bezpieczne narzędzia do autoryzacji transakcji internetowych oraz zapewnić ogólną dbałość o bezpieczeństwo całej transakcji - rekomenduje Komisja Nadzoru Finansowego bankom, SKOK-om i innym instytucjom płatniczym.
Wydany w ubiegłym tygodniu dokument to 14 rekomendacji KNF dotyczących bezpieczeństwa płatności w internecie. Obejmuje takie obszary jak: zasady i organizację procesu zarządzania i oceny ryzyka; środki kontroli i bezpieczeństwa w zakresie płatności internetowych; edukowanie klientów oraz komunikację z nimi.
KNF uważa, że „dostawcy usług płatniczych powinni posiadać formalną politykę bezpieczeństwa i regularnie dokonywać szczegółowych ocen ryzyka w stosunku do płatności internetowych oraz usług powiązanych”. Analizy powinny uwzględnić m.in. wykorzystywane rozwiązania technologiczne, środowisko techniczne, w jakim działa klient czy zagadnienia outsourcingu.
Zdaniem KNF, bank, który dba o bezpieczeństwo w zakresie płatności internetowych, powinien stosować „mechanizm uwierzytelniania klienta zawsze, gdy klient inicjuje płatność internetową lub chce uzyskać dostęp do wrażliwych danych płatniczych”. Wrażliwe dane płatnicze (dane osobowe, PIN-y itp.) „powinny podlegać ochronie podczas przechowywania, przetwarzania lub przesyłania”.
Dostawcy powinni udostępniać klientom bezpieczne narzędzia do autoryzacji transakcji internetowych oraz jasno określić obowiązki i zakres odpowiedzialności dostawcy usług płatniczych i klienta w związku z korzystaniem z usług płatności internetowych wynikających m.in. z zakazu udostępniania (ujawniania) podmiotom trzecim danych do logowania.
„Dostawcy powinni również stosować systemy, które pomogą zidentyfikować i zablokować oszukańcze transakcje” – czytamy w dokumencie. „Transakcje podejrzane lub wysokiego ryzyka powinny podlegać szczególnej procedurze kontroli i oceny” - głosi rekomendacja.
Banki i inne instytucje płatnicze powinny m.in. „stosować procesy zapewniające, aby wszystkie transakcje, jak również przebieg procesu polecenia zapłaty, były odpowiednio śledzone”.
„Dostawcy usług płatniczych powinni potwierdzać klientom zainicjowanie płatności oraz dostarczać im we właściwym czasie informacje niezbędne do weryfikacji, czy transakcja płatnicza została poprawnie zainicjowana lub wykonana" - czytamy w dokumencie.
Komisja Nadzoru Finansowego zaleciła również bankom edukowanie klientów oraz komunikację z nimi. „Działania edukacyjne powinny się odbywać zarówno poprzez regularne akcje, jak i poprzez incydentalne ostrzeganie o zagrożeniach oraz bieżący kontakt z klientem za pomocą bezpiecznego kanału komunikacji” - uważa KNF.
Dostawcy usług płatniczych powinni zapewniać funkcjonowanie co najmniej jednego bezpiecznego kanału na potrzeby bieżącej komunikacji z klientami w zakresie poprawnego i bezpiecznego korzystania z usług płatności internetowych.
W 12 rekomendacji KNF podkreślono, że banki powinny uświadamiać klientów, tak, aby rozumieli potrzebę „ochrony haseł, tokenów, danych osobowych i innych poufnych danych przed dostępem osób nieuprawnionych”. Ponadto klienci powinni być edukowani w dziewdzinie „właściwego zarządzania bezpieczeństwem urządzeń osobistych (np. komputerów) poprzez instalowanie i aktualizowanie m.in. programów antywirusowych, zapór sieciowych, poprawek bezpieczeństwa).
Przy wydawaniu rekomendacji zostały uwzględnione wyniki ankiety KNF na temat incydentów bezpieczeństwa IT oraz mechanizmów kontrolnych. Z ankiety wynikło, że „infrastruktura klienta” (komputery, urządzenia mobilne) to sfera, na którą jest najwięcej ataków cyberprzestępców.
Pełny tekst rekomendacji dostępny jest tutaj: http://www.knf.gov.pl/Images/REKOMENDACJA_dot_bezpieczenstwa_transakcji_platniczych_tcm75-43526.pdf