5 февраля 2023 5950 Регулятор направил в белорусские банки проект постановления о изменениях в удаленной идентификации клиентов. Скорее всего этот проект утвердят без существенных правок. Мы посмотрели какие изменения предлагаются в Инструкции об использовании программно-аппаратных средств и технологий, проведении процедур удаленной идентификации, удаленного обновления (актуализации) Пропустим измененные толкования таких терминов как идентификация, передача данных и т.п. Но расскажем о новых сокращениях, так как они очень часто встречаются: СФР - субьекты финансового рынка, ППУ - поставщики платежных услуг Клиент должен дать свое согласие на обработку данных, это согласие сразу же распространяется и на биометрические данные: "обработка данных – сбор, получение, систематизация, накопление, фиксация, хранение, изменение, обезличивание, блокирование, использование, передача, предоставление, удаление, иные способы обработки данных клиента, в том числе биометрических, при проведении СФР, ППУ финансовых, платежных операций с использованием программных средств" Эти данные будут собирать поставщики платежных услуг (ППУ) и субьекты финансового рынка (СФР): "В случае наличия данных о клиенте в межбанковской системе идентификации СФР, ППУ в целях осуществления финансовых, платежных операций вправе осуществлять сбор биометрических данных клиентов после проведения многофакторной аутентификации и верификации собранных данных с МСИ с целью их последующего использования в качестве аутентификационных данных свойства объекта..." Можно будет удаленно идентифицировать представителей юридических лиц: "При удаленной идентификации клиента-юридического лица проводится удаленная идентификация руководителя, главного бухгалтера, иного уполномоченного лица этого юридического лица..." Белорусские банки смогут отдать процедуру идентификацию на аутсорсинг: " СФР, ППУ для проведения процедуры удаленной идентификации вправе привлекать на основании договора организацию, оказывающую услуги по проведению такой процедуры, если согласием клиента на обработку данных предусмотрено предоставление данных такой организации..." Вот при каких условиях будет проводится процедура удаленной идентификации: "...Процедура удаленной идентификации проводится при соблюдении следующих условий: - обработка данных о клиенте, полученных при проведении процедуры удаленной идентификации, осуществляется с соблюдением требований законодательства об информации, информатизации и защите информации, законодательства и международных договоров, направленных на защиту прав субъектов персональных данных; - обеспечена возможность отзыва согласия клиента на обработку его данных и их блокирования в системе идентификации; - биометрические данные клиентов фиксируются в базе данных, отдельной от базы данных иных данных, полученных при проведении процедуры удаленной идентификации; - данные о клиентах, прошедших процедуру удаленной идентификации, имеют соответствующую отметку о прохождении такой процедуры; - фото- и (или) видеофиксация лица клиента и документа, удостоверяющего личность, на основании которых формируются биометрические модели, осуществляется посредством одного непрерывного и ограниченного по времени процесса дистанционного обмена информацией между финансовой организацией и клиентом; - проверка признаков подлинности документа, удостоверяющего личность, осуществляется на основании полученного изображения документа, удостоверяющего личность; - проверка признаков подлинности биометрического документа осуществляется на основании данных, полученных из сертификата и (или) из интегральной микросхемы биометрического документа; - используются программные средства, позволяющие распознавать имитацию биометрических параметров клиента, имеющие механизмы распознавания живого человека и предотвращающие неправомерные действия, в том числе методы обнаружения применения средств имитации внешности и (или) голоса клиента (произнесение клиентом контрольной фразы, анализ движений и (или) мимики клиента и другие методы); - проводится сравнение биометрических моделей, сформированных на основании изображения лица клиента и фотографии клиента из документа, удостоверяющего его личность, и определяется степень их сходства. Решение о признании результата проведения процедуры удаленной идентификации положительным принимает финансовая организация СФР, ППУ на основании данных системы идентификации и собственной оценки риска дальнейшего взаимодействия с клиентом.." Если клиент отказывается обновить свои данные, то не сможет проводить платежи: " В случае отказа клиента от проведения процедуры удаленного обновления (актуализации) данных о клиенте, за исключением биометрических, доступ клиента к системе дистанционного обслуживания приостанавливается финансовой организацией СФР, ППУ до момента обновления (актуализации) данных о клиенте..." Вообще есть плюс в том что юридическое лицо может пройти удаленно процедуру идентификации и не надо будет ехать в банк для подписания договора. Что касается физических лиц то тут плохая новость - для большинства операций придется проходить многофакторную аутентификацию. То есть вход в мобильный банк будет сложнее. Такова цена безопасности. Хотя мошенники уже давно массово не взламывают пароли и аккаунты в банковских приложениях - они сейчас больше занимаются социальной инженерией: Социáльная инженерия — в контексте информационной безопасности — психологическое манипулирование людьми с целью совершения определенных действий или разглашения конфиденциальной информации. Совокупность уловок с целью сбора информации, подделки или несанкционированного доступа от традиционного «мошенничества» отличается тем, что часто является одним из многих шагов в более сложной схеме мошенничества. Кстати про социальную инжененрию можно прочитать интересную книгу которую написал талантливый хакер (Митник Кевин - Искусство обмана) специализировавшийся именно на социальной инженерии, приведем отрывок из нее: " Во многих случаях, успешные социальные инженеры обладают сильными человеческими качествами. Они очаровательны, вежливы и просты — социальные качества, необходимые для установления быстрой связи и доверия. Опытный социальный инженер может получить доступ к любой возможной информации, используя стратегию и тактику своего ремесла. Здравомыслящие технологи кропотливо разработали решения по информационной безопасности для минимизации рисков, связанных с использованием компьютеров, но всё же оставили наиболее значимую уязвимость — человеческий фактор. Несмотря на интеллект, мы люди — вы, я и любой другой — остаёмся самой серьёзной угрозой для любой другой защиты... ... Итак, Крис дала мне её номер Merchant ID и телефонный номер, по которому они делают запросы. Я хотел задать ещё несколько вопросов, чтобы узнать, как много информации можно узнать от CreditChex. Но лучше было не рисковать. Теперь я мог в любое время позвонить в CreditChex и получить информацию. При таком повороте событий служащий CreditChex был счастлив поделиться со мной точной информацией касающихся двух мест, в которых муж моей клиентки недавно открыл счета. Итак, куда же подевались деньги, которые разыскивала его потенциальная бывшая жена? Ещё куда-нибудь, кроме банковских учреждений, о которых сообщил парень из CreditChex? Весь этот фокус основывался на единственной фундаментальной тактике социальной инженерии: получение доступа к информации, которую работники компании считают безвредной, когда на самом деле она опасна. Первая банковская служащая подтвердила термин для описания номера идентификации, используемого для звонков в CreditChex: Merchant ID. Вторая выдала телефонный номер для звонков в CreditChex и самый важный кусок информации: номер Merchant ID банка. Вся эта информация казалась клерку безвредной. В конце концов, ведь банковская служащая думала, что она говорит с кем-то из CreditChex — так что плохого было в раскрытии номера? Всё это было положено в основу для третьего звонка. У Грейса было всё необходимое, чтобы позвонить в CreditChex. Он представился служащим одного из банков-клиентов, — Национального банка, — и просто спросил всё, что нужно. Помимо хороших навыков в краже информации, которыми обладает любой хороший карманник, Грейс обладал талантом незаметно угадывать настроение людей. Он знал об обычной тактике прятанья ключевых вопросов среди безвредных. Он знал, что личный вопрос проверит второго клера на желание сотрудничать, прежде чем спрашивать о номере Merchant ID..." Источник: www.infobank.pt
