28 мая, четверг 01:51
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

СМС при входе мобильный банк

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • СМС при входе мобильный банк

    Добрый день.
    Информирование клиента физического лица о каждом входе в мобильное ДБО подпадает ли под действие 4 пункта 9 статьи 161 ФЗ?

    Оператор по переводу денежных средств обязан информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления в порядке, установленном договором с клиентом.
    (вход в мобильное приложение может рассматриваться как операция? Например операция получение выписки или остатка по счета/карте).



  • #2
    Сообщение от dnebyshe Посмотреть сообщение
    Информирование клиента физического лица о каждом входе в мобильное ДБО подпадает ли под действие 4 пункта 9 статьи 161 ФЗ?
    В контексте закона речь идёт о переводах д/с, это просматривается в связи с обязанностью оператора вернуть д/с, если клиент не был проинформирован об операции.
    Поэтому информирование о в ходе в ДБО, имхо, под 161-ФЗ не попадает. Но вообще информирование вещь полезная, а в ряде случаев необходимая.

    Комментарий


    • #3
      (вход в мобильное приложение может рассматриваться как операция?
      Может, если вход совершен с целью совершения перевода.
      Поэтому, лучше информировать, это в интересах самого же банка.

      Например операция получение выписки или остатка по счета/карте).
      Не операция в понимании ст. 9. Это не предмет регулирования 161-ФЗ.



      Комментарий


      • #4
        Сообщение от Andrei28RUS Посмотреть сообщение
        Может, если вход совершен с целью совершения перевода.
        Поэтому, лучше информировать, это в интересах самого же банка.
        Думаю, что надо смотреть на всю схему авторизация+подтверждение платежа+информирование о ПДС.
        Если считанные секунды назад клиенту был отправлен успешно потом введенный одноразовый код, то считаю, что информировать стоит только опционально.
        Иначе параноидальным понимаем мутных требований будем только раздражать клиента.

        Комментарий


        • #5
          Думаю, что надо смотреть на всю схему авторизация+подтверждение платежа+информирование о ПДС.
          Я бы рассматривал авторизацию как намерение совершить перевод и соответственно в качестве операции для целей ст. 9.
          От авторизации до перевода всего лишь шаг., т.е дополнительно "ломать" уже ничего не требуется.


          Если считанные секунды назад клиенту был отправлен успешно потом введенный одноразовый код, то считаю, что информировать стоит только опционально.
          Если авторизация возможна путем ввода кода, который может получить и ввести лишь плательщик - владелец ЭСП, то разумеется дополнительно уведомлять такого плательщика об этом не надо. Если все в считанные секунды...

          Комментарий


          • #6
            Сообщение от UserNick Посмотреть сообщение
            надо смотреть на всю схему авторизация+подтверждение платежа+информирование о ПДС.
            Схема:
            Вход в мобильное приложение по постоянному коду, который придумал клиент сам.
            Приходит PUSH (произведен вход)

            Далее совершение любой операций по переводу только по ПЭП, которая приходит клиенту в PUSH в виде одноразового пароля короткого действия.
            Приходит PUSH (операция такая-то)

            Т.е. по самим операциям уведомление ведется, вопрос только про вход, где клиент получает информацию о счетах, выписках, письмах.

            Вроде как нет у банка обязательства уведомлять об этом клиента.

            Комментарий


            • #7
              Сообщение от dnebyshe Посмотреть сообщение

              Далее совершение любой операций по переводу только по ПЭП, которая приходит клиенту в виде одноразового пароля короткого действия.
              Приходит клиенту куда, на какое устройство?

              Комментарий


              • #8
                Сообщение от Andrei28RUS Посмотреть сообщение
                Приходит клиенту куда, на какое устройство?
                Да как и у большинства банков, на тот же смартфон.

                Комментарий


                • #9
                  Сообщение от dnebyshe Посмотреть сообщение
                  Приходит PUSH (произведен вход)
                  Не понятно, PUSH с одноразовым кодом или просто уведомление "Произведен вход"?
                  Если просто уведомление, то не выполняется требование:
                  Сообщение от 382-П, п. 2.8.2. абз.4
                  Оператор по переводу денежных средств принимает и фиксирует во внутренних документах решения о необходимости использования пароля многоразового действия И одноразового кода подтверждения в целях аутентификации клиента при осуществлении переводов денежных средств с использованием системы Интернет-банкинга, а также при подтверждении клиентом права доступа к системе Интернет-банкинга.
                  Если это требование выполнить, то, КМК уведомлять о входе стоит опционально только тех, кому этого очень хочется.

                  Комментарий


                  • #10
                    Сообщение от dnebyshe Посмотреть сообщение
                    Да как и у большинства банков, на тот же смартфон.
                    Если вход в приложение и ПДС возможны только с использованием получаемого плательщиком пароля, то дополнительно уведомлять его об операциях нет необходимости.


                    161-ФЗ., ст. 9
                    "4. Оператор по переводу денежных средств обязан информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления в порядке, установленном договором с клиентом."

                    Уведомляется плательщик не о совершенной операции, а о совершении операции. Запрос на получение пароля можно рассматривать как начало совершения операции.
                    Но этот вопрос надо отрегулировать договором на использование ЭСП с плательщиком.

                    В договоре должно быть указано примерно следующее:

                    Клиент - плательщик уведомляется о совершении операции сл.образом:
                    - направлением оператором ему пароля для входа в ЭСП (не обязательно, если перевод денег дальше без пароля невозможен);
                    - направлением оператором ему пароля для совершения ПДС.

                    После совершения ПДС можно дополнительно направлять клиенту сообщение о совершенном ПДС, но не обязательно.
                    Последний раз редактировалось Andrei28RUS; 05.03.2020, 08:17.

                    Комментарий


                    • #11
                      Уведомляем о совершении операции путем направления PUSH с одноразовым кодом, который функционально зависит от ключевых реквизитов документа.
                      Этой ПЭП клиент подписывает электронное сообщение.
                      А получение от клиента подтверждения по 683-П прописаны в договоре (мы меняем статус в выписке и если клиент в течении XXX минут не возразит, то значит он подтверждает.)

                      Комментарий


                      • #12
                        Сообщение от UserNick Посмотреть сообщение
                        Если просто уведомление, то не выполняется требование:
                        Это же требование к Интернет-Банкингу, а я спрашивал про Мобильный банкинг.
                        В интернет-банкинге у нас вход по логину-паролю + одноразовый код в PUSH сообщении на указанный в договоре номер телефона.



                        Комментарий


                        • #13
                          Сообщение от dnebyshe Посмотреть сообщение
                          Это же требование к Интернет-Банкингу, а я спрашивал про Мобильный банкинг.
                          В интернет-банкинге у нас вход по логину-паролю + одноразовый код в PUSH сообщении на указанный в договоре номер телефона.
                          На системы мобильного банкинга, распространяются все те же требования 382-П, что и на системы Интернет-банкинга плюс дополнительные требования пп. 2.8.5.-2.8.6.
                          Это следует из определения систем мобильного банкинга:
                          Сообщение от 382-П п. 2.8.5.
                          При разработке программного обеспечения, используемого клиентом при осуществлении переводов денежных средств с использованием системы Интернет-банкинга и предназначенного для установки на мобильные устройства клиента (далее - система мобильного банкинга) ...


                          Комментарий


                          • #14
                            Сообщение от UserNick Посмотреть сообщение
                            Это следует из определения систем мобильного банкинга:
                            Нет четкого определения. Ситуация не однозначная.

                            Комментарий


                            • #15
                              Сообщение от UserNick Посмотреть сообщение
                              Если просто уведомление, то не выполняется требование: Сообщение от 382-П, п. 2.8.2. абз.4 Оператор по переводу денежных средств принимает и фиксирует во внутренних документах решения о необходимости использования
                              Мы зафиксировали решение о необходимости:
                              "Необходимости подтверждать вход в мобильное приложение одноразовым паролем НЕТ"
                              "Необходимость подтверждать совершение платежа в мобильное приложение одноразовым паролем ЕСТЬ"
                              Это решение мы приняли путем фиксации этого во внутренней нормативке по безопасности ДБО"

                              Считаю, что данное требование П.57.1 выполнено на "1". так как это категория 3. Действие ведется, решение принято.
                              Кто не согласен?

                              Комментарий


                              • #16
                                Сообщение от dnebyshe Посмотреть сообщение
                                Нет четкого определения. Ситуация не однозначная.
                                В данной ситуации, считаю, что формулировка вполне четкая.

                                Сообщение от dnebyshe Посмотреть сообщение
                                Мы зафиксировали решение о необходимости:
                                Еще забыли про "Необходимости подтверждать клиентом права доступа к системе Интернет-банкинга вводом одноразового пароля НЕТ"
                                КМК, все это повод нарваться на "рекомендацию" при проверке. Причем, думаю, что это будет обоснованная и разумная рекомендация. ЦБ ведь надеется, что решение будет принято обоснованное и "правильное". Учитывая свежие тенденции про риск ориентированный подход, вероятно такое решение в обозримом будущем придется пересмотреть.
                                Ваше дело, конечно, но ИМХО реальной безопасности т.е. сохранению банковской тайны такая схема авторизации не способствует.
                                Последний раз редактировалось UserNick; 06.03.2020, 07:42.

                                Комментарий


                                • #17
                                  ЦБ не будут так глубоко копать в обоснованности оценок внешнего аудита. Их больше интересует что есть бумажка и у того, кто ее выдал есть лицензия. А на многостраничные заключения "экспертов" они смотрят сквозь пальцы. Они сами заслали нас к аудиторам, и глубоко перепроверять результаты и оспаривать решения лицензиата на смогут.
                                  По крайне мере массово.
                                  Даже если скажут исправить - исправим.

                                  Комментарий


                                  • #18
                                    Сообщение от UserNick Посмотреть сообщение
                                    Еще забыли про "Необходимости подтверждать клиентом права доступа к системе Интернет-банкинга вводом одноразового пароля НЕТ"
                                    Да забыл.
                                    В интернет банкинге WEB такая необходимость ЕСТЬ, принята и реализована.

                                    Комментарий


                                    • #19
                                      Сообщение от dnebyshe Посмотреть сообщение
                                      ЦБ не будут так глубоко копать в обоснованности оценок внешнего аудита.
                                      При таком подходе, КМК вопросы "неоднозначности" отнесения требований к мобильному банкингу лучше обсуждать с вашим аудитором.
                                      А ответ на заданный в начале темы вопрос, да, думаю, что о входе при использовании описанной схемы стоит уведомлять. Правда от PUSHа без использования отдельного устройства для приема кодов подтверждений толку мало.

                                      Комментарий


                                      • #20
                                        Сообщение от UserNick Посмотреть сообщение
                                        Правда от PUSHа без использования отдельного устройства для приема кодов подтверждений толку мало.
                                        Я это отлично понимаю, но накручивание гаек безопасности сделает ДБО сложным и не конкурентным.
                                        Есть же еще фрод-мониторинг, вот он как второй эшелон зашиты, отловит "не типичные" или "рискованные" переводы.

                                        Комментарий


                                        • #21
                                          Сообщение от dnebyshe Посмотреть сообщение
                                          Я это отлично понимаю, но накручивание гаек безопасности сделает ДБО сложным и не конкурентным.
                                          Есть еще юридические механизмы переноса ответственности. Ничто не мешает обязать клиента использовать в ДБО 2 разных устройства. Одно для работы, второе для получения кодов подтверждений. Но поскольку условия договоров никто не читает, клиент при работе на одном устройстве, будет сам себе злобный буратино. Только при этом система мобильного банкинга должна обеспечивать техническую возможность использования 2 устройств.

                                          Комментарий


                                          • #22
                                            Сообщение от dnebyshe Посмотреть сообщение
                                            + одноразовый код в PUSH сообщении на указанный в договоре номер телефона.
                                            Можно по-подробнее, как отправить PUSH на указанный в договоре номер телефона? IMHO, PUSH можно отправить только приложению.

                                            Комментарий

                                            Обработка...
                                            X