Требования к мобильным приложениям банков хотят ужесточить
25.09.2023
Банки Казахстана
Источник:
Личный счет
АРРФР разработало дополнительные меры для повышения уровня защиты в сфере онлайн-кредитования, передает LS.
Данный проект постановления направлен на усиление безопасности дистанционного оказания услуг банка и финорганизаций.
В документе регулятор обозначил требования к предоставлению защиты программного обеспечения (ПО) финструктур, которые включают:
Если данный документ будет передан сторонней организации или третьему лицу, то банк или финорганизация должны проконтролировать исполнение данными лицами требований надежности и внутренних документов, отвечающих за состояние безопасности ПО банковского приложения.
"Хранение исходных кодов программного обеспечения дистанционного оказания услуг, разрабатываемых в банке, организации, осуществляется в специализированных системах управления репозиториями кода, размещаемых в периметре защиты банка, организации, с обеспечением резервного копирования", – говорится в проекте.
При этом обязательным пунктом в документе является тестирование безопасности, в ходе которого осуществляются как минимум статический анализ исходного кода и анализ компонентов и сторонних библиотек.
"Банк или финорганизация обеспечивают реализацию корректирующих мер по устранению выявленных уязвимостей в порядке, определенном внутренним документом, утвержденным исполнительным органом. При этом критичные проблемы устраняются до ввода в эксплуатацию ПО его новых версий", – уточняется в документе.
А для ввода в эксплуатацию понадобится согласование с подразделением по информационной безопасности.
Также финорганизации и банки должны будут обеспечивать хранение и доступ в оперативном режиме ко всем версиям исходных кодов ПО и результатов тестирования безопасности, которые были введены в эксплуатацию.
Обмен данными между клиентской и серверной сторонами программного обеспечения предлагается шифровать с использованием версии протокола Transport Layer Security не ниже 1.2.
Между тем при первичной регистрации клиента в мобильном приложении будет проводиться его биометрическая идентификация посредством Центра обмена идентификационными данными (ЦОИД) или с помощью биометрических данных, полученных посредством устройств банка или финорганизации.
"Изменение кода доступа (пароля) к приложению осуществляется посредством биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД или полученных посредством устройств банка, организации. Идентификация и аутентификация клиента в ПО осуществляется с применением способов двухфакторной аутентификации (использованием двух из трех факторов: знания, владения, неотъемлемости). Делегирование этих функций клиента сторонним организациям или третьим лицам не допускается", – поясняется в проекте.
Кроссдоменную аутентификацию планируют совершать только между доменами третьего уровня или выше, которые имеют общий родительский домен второго уровня, или между доменом второго уровня и его дочерними доменами.
При этом мобильное приложение не сможет пользоваться функционалом встраиваемых веб-страниц (компонент WebView).
Публичное обсуждение документа продлится до 6 октября 2023 года.
Данный проект постановления направлен на усиление безопасности дистанционного оказания услуг банка и финорганизаций.
В документе регулятор обозначил требования к предоставлению защиты программного обеспечения (ПО) финструктур, которые включают:
- ПО серверов веб-приложений;
- ПО для мобильных устройств;
- ПО серверов программных интерфейсов.
Если данный документ будет передан сторонней организации или третьему лицу, то банк или финорганизация должны проконтролировать исполнение данными лицами требований надежности и внутренних документов, отвечающих за состояние безопасности ПО банковского приложения.
"Хранение исходных кодов программного обеспечения дистанционного оказания услуг, разрабатываемых в банке, организации, осуществляется в специализированных системах управления репозиториями кода, размещаемых в периметре защиты банка, организации, с обеспечением резервного копирования", – говорится в проекте.
При этом обязательным пунктом в документе является тестирование безопасности, в ходе которого осуществляются как минимум статический анализ исходного кода и анализ компонентов и сторонних библиотек.
"Банк или финорганизация обеспечивают реализацию корректирующих мер по устранению выявленных уязвимостей в порядке, определенном внутренним документом, утвержденным исполнительным органом. При этом критичные проблемы устраняются до ввода в эксплуатацию ПО его новых версий", – уточняется в документе.
А для ввода в эксплуатацию понадобится согласование с подразделением по информационной безопасности.
Также финорганизации и банки должны будут обеспечивать хранение и доступ в оперативном режиме ко всем версиям исходных кодов ПО и результатов тестирования безопасности, которые были введены в эксплуатацию.
Обмен данными между клиентской и серверной сторонами программного обеспечения предлагается шифровать с использованием версии протокола Transport Layer Security не ниже 1.2.
Между тем при первичной регистрации клиента в мобильном приложении будет проводиться его биометрическая идентификация посредством Центра обмена идентификационными данными (ЦОИД) или с помощью биометрических данных, полученных посредством устройств банка или финорганизации.
"Изменение кода доступа (пароля) к приложению осуществляется посредством биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД или полученных посредством устройств банка, организации. Идентификация и аутентификация клиента в ПО осуществляется с применением способов двухфакторной аутентификации (использованием двух из трех факторов: знания, владения, неотъемлемости). Делегирование этих функций клиента сторонним организациям или третьим лицам не допускается", – поясняется в проекте.
Кроссдоменную аутентификацию планируют совершать только между доменами третьего уровня или выше, которые имеют общий родительский домен второго уровня, или между доменом второго уровня и его дочерними доменами.
При этом мобильное приложение не сможет пользоваться функционалом встраиваемых веб-страниц (компонент WebView).
Публичное обсуждение документа продлится до 6 октября 2023 года.