13 августа, четверг 16:37
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от khusainov rustam Посмотреть сообщение
    При общении с нашим ЦБ, выяснилось, что эти требования мы были обязаны выполнить до 16 марта 2015 г. Есть два варианта решения на мой взгляд:
    1. написать как есть, но есть вероятность вне плановой проверки.
    2. прикрыться бумажками и доказывать руководству, что это все надо делать. Мы внедрили антифрод, кому интересно в личку могу отписаться.
    Напишите пожалуйста по второму пункту в личку

    Комментарий


    • и мне пожалуйста про второй пунктик.! Спасибо.

      Комментарий


      • по 57.3, прокатит ли : принять и зафиксировать во внутренних документах решение о том, что одноразовые коды не нужны. по сути требование не обязывает нас внедрять данное средство защиты, особенно если это не целесообразно..

        Коллеги, каковы ваши мысли о возможности принятия такого решения?но похоже цб явно не этого ждет..

        Комментарий


        • Сообщение от Tony Mertsalov Посмотреть сообщение
          по 57.3, прокатит ли : принять и зафиксировать во внутренних документах решение о том, что одноразовые коды не нужны. по сути требование не обязывает нас внедрять данное средство защиты, особенно если это не целесообразно..

          Коллеги, каковы ваши мысли о возможности принятия такого решения?но похоже цб явно не этого ждет..
          Переложите на Клиента. Банк возможность использования одноразового кода подтверждения предоставляет, а подключать эту услугу или нет решает Клиент.

          Комментарий


          • Ярослав В., на самом деле, многие банки не готовы к предоставлению таких услуг, поэтому и возникают вопросы как обойти этот пункт (-ы)

            Комментарий


            • Мое мнение простое - если в пункте явно указано "Банк принимает и фиксирует в документах решение о необходимости применения таких кодов" то ЦБ и ждет от Банка принятия и фиксации решения о необходимости применения одноразовых кодов.

              Нет возможности - так и пишите "одноразовые коды не применяются" или "одноразовые коды не применяются ввиду отсутствия технической возможности", а руководство пусть подписывает. Я думаю все понимают для чего такие маневры делаются. И хорошо что ЦБ это требует в такой форме.

              Комментарий


              • Сообщение от kula Посмотреть сообщение
                Напишите пожалуйста по второму пункту в личку
                и мне, пожалуйста.

                Комментарий


                • П.2.8.8. "Оператор по переводу денежных средств обеспечивает приостановление пересылки клиенту извещений (подтверждений) о принятии к исполнению распоряжений и иной защищаемой информации и осуществления перевода денежных средств на основании сообщений (кодов), отправленных с номера телефона, указанного в договоре с клиентом, в случае если оператору по переводу денежных средств стало известно о признаках, указывающих на изменение:
                  получателя информации, направленной оператором по переводу денежных средств и используемой при аутентификации клиента;
                  отправителя сообщений (кодов) с номера телефона, указанного в договоре с клиентом, на основании которых осуществляется перевод денежных средств.
                  К указанным признакам может быть отнесена информация о замене SIM-карты клиента, прекращении обслуживания или смене номера телефона, указанного в договоре с клиентом."
                  О чем это? О мобильном банкинге? Или о возможности клиента отправить с мобильника какой-то управляющий код в систему "Клиент-Банк"? Мобильного банкинга у нас нет, а в качестве "Клиент-Банка" используется "iBank2", там нет такой возможности. Разъясните, пожалуйста, кто как понял.

                  Комментарий


                  • Сообщение от TanyaOBR Посмотреть сообщение
                    Сообщение от kula


                    Напишите пожалуйста по второму пункту в личку



                    и мне, пожалуйста.
                    продублируйте мне тоже, пожалуйста

                    Комментарий


                    • Сообщение от tim100 Посмотреть сообщение
                      П.2.8.8. "Оператор по переводу денежных средств обеспечивает приостановление пересылки клиенту извещений (подтверждений) о принятии к исполнению распоряжений и иной защищаемой информации ...
                      Если стало известно о том, что указанный в договоре номер телефона клиенту больше не принадлежит, ОПДС перестает слать на него извещения, одноразовые коды.

                      Сообщение от tim100 Посмотреть сообщение
                      и осуществления перевода денежных средств на основании сообщений (кодов), отправленных с номера телефона, указанного в договоре с клиентом
                      Например, у сбербанка есть возможность осуществлять переводы через смс-команды

                      Комментарий


                      • Сообщение от Berckut Посмотреть сообщение
                        В каком контексте рассматривать новые новые пункты 2.5.7-2.5.10? Все требования сводятся к условию, что ОПДС либо разработал сам (в т.ч. привлёк к разработке кого-то), либо купил готовый продукт для осуществления переводов ДС. Но как быть если приобретается не продукт, а услуга?
                        Например, Faktura.ru или IBank. Банк покупает услугу - по сути сторонняя организация предоставляет систему электронного документооборота в которой, как одной из функций, реализован обмен электронными платёжными документами.






                        2.5.7 При разработке программного обеспечения, предназначенного для использования клиентом при осуществлении переводов денежных средств, самостоятельно или с привлечением сторонних организаций, а также при разработке изменений указанного программного обеспечения оператор по переводу денежных средств обеспечивает реализацию в указанном программном обеспечении функций, связанных:
                        - с выполнением требований к защите информации при осуществлении переводов денежных средств;
                        - с предотвращением несанкционированного доступа к защищаемой информации, передаваемой по информационно-телекоммуникационным сетям, в частности, по сети "Интернет".
                        Оператор по переводу денежных средств контролирует реализацию указанных функций при разработке программного обеспечения с привлечением сторонней организации, а также при закупке готового к использованию без дополнительной доработки программного обеспечения.
                        Не рассматривали вопрос?

                        Комментарий


                        • Ребят кто может поделиться методикой классификации ТУ ДБО, читал тут разные подходы, ну что-то точная определенность не найдена. Я так понимаю, суть классификации заключается в том, чтобы определить для каждого классы необходимые меры защиты, исходя из следующих факторов:
                          - возможностей несанкционированного получения информации, необходимой для осуществления переводов денежных средств;
                          - возможностей осуществления воздействия, приводящего к сбоям, отказам, повреждению ТУ ДБО;
                          - особенностей конструкции ТУ ДБО;
                          - места установки ТУ ДБО.

                          Комментарий


                          • Сообщение от giroskop Посмотреть сообщение
                            Не рассматривали вопрос?
                            Вопрос до сих пор открыт

                            Комментарий


                            • Сообщение от dmitryyanov87 Посмотреть сообщение
                              Ребят кто может поделиться методикой классификации ТУ ДБО, читал тут разные подходы, ну что-то точная определенность не найдена. Я так понимаю, суть классификации заключается в том, чтобы определить для каждого классы необходимые меры защиты, исходя из следующих факторов:
                              - возможностей несанкционированного получения информации, необходимой для осуществления переводов денежных средств;
                              - возможностей осуществления воздействия, приводящего к сбоям, отказам, повреждению ТУ ДБО;
                              - особенностей конструкции ТУ ДБО;
                              - места установки ТУ ДБО.
                              Во вложении пример от МВД.
                              Вложения

                              Комментарий


                              • Вопрос что дают эти классы (кстати в этой инструкции рассматриваются только аспекты физической охраны)? Суть наверное в том чтобы определить классы исходя из 4 факторов, после чего определить меры защиты для каждого класса. Так же, я думаю, результаты должны отражать решения о необходимости применения следующих мер и средств защиты информации:
                                - установка на (в) ТУ ДБО технических средств, предназначенных для обнаружения и (или) предотвращения (затруднения) работы несанкционированно установленного оборудования;
                                - установка на (в) ТУ ДБО технических средств защиты информации от воздействия вредоносного кода
                                - регистрация доступа к банкоматам, в том числе с использованием систем видеонаблюдения;

                                Может все таки кто-нибудь поделится методикой классификации ТУ ДБО (не результатами) исходя из 4 факторов, а не только исходя из фактора - места установки

                                Комментарий


                                • Никто не ходил к руководству по вопросу исполнения п. 2.8.2 (одноразовые пароли)? У нас возникло 2 вопроса в ходе обсуждения:
                                  - Есть клиенты, которые отправляют тысячи платежей в день (пакетами). В этом случае коды будут приходить все равно на каждый платеж. Таких клиентов нужно будет все равно отключить от сервиса (это возможно). В результате, оценка все равно будет 0.5? Единицу уже не поставишь?
                                  - Смс тарифицируются поставщиком услуг И-б. Для клиента цена обслуживания не меняется, все издержки несет банк и по усмотрению повышает цену для клиента. Надо пересчитывать тариф.

                                  У нас в И-б пока только юрики, все со смарт-картами ЭЦП

                                  Комментарий


                                  • Сообщение от giroskop Посмотреть сообщение
                                    Никто не ходил к руководству по вопросу исполнения п. 2.8.2 (одноразовые пароли)? У нас возникло 2 вопроса в ходе обсуждения:
                                    - Есть клиенты, которые отправляют тысячи платежей в день (пакетами). В этом случае коды будут приходить все равно на каждый платеж. Таких клиентов нужно будет все равно отключить от сервиса (это возможно). В результате, оценка все равно будет 0.5? Единицу уже не поставишь?
                                    - Смс тарифицируются поставщиком услуг И-б. Для клиента цена обслуживания не меняется, все издержки несет банк и по усмотрению повышает цену для клиента. Надо пересчитывать тариф.

                                    У нас в И-б пока только юрики, все со смарт-картами ЭЦП
                                    Если при проверке вы докажете, что исполнение данного пункта для вас невозможно и подтвердите это документально, то выполнение этого пункта не обязательно. Так мне объяснили в местном ЦБ.
                                    В качестве обоснования можно протоколом совещания зафиксировать тот факт, что вы будите к примеру отправлять только подтверждение об операции на почту клиента, так как отправлять одноразовые коды для ваших клиентов не рационально и для них не эффективно. (отправляют тысячи платежей в день (пакетами)).
                                    попробуйте узнать у вашего ЦБ, возможно ли такое или нет?

                                    Комментарий


                                    • Сообщение от khusainov rustam Посмотреть сообщение
                                      попробуйте узнать у вашего ЦБ, возможно ли такое или нет?
                                      невозможно, но ЦБ тут ни при чем: нет такой функции у поставщика услуг. Только смски. В ВНД мы предусмотрели отправку на почту и так и хотели реализовать, но увы

                                      Комментарий


                                      • Сообщение от giroskop Посмотреть сообщение
                                        Никто не ходил к руководству по вопросу исполнения п. 2.8.2 (одноразовые пароли)? У нас возникло 2 вопроса в ходе обсуждения:
                                        - Есть клиенты, которые отправляют тысячи платежей в день (пакетами). В этом случае коды будут приходить все равно на каждый платеж. Таких клиентов нужно будет все равно отключить от сервиса (это возможно). В результате, оценка все равно будет 0.5? Единицу уже не поставишь?
                                        - Смс тарифицируются поставщиком услуг И-б. Для клиента цена обслуживания не меняется, все издержки несет банк и по усмотрению повышает цену для клиента. Надо пересчитывать тариф.

                                        У нас в И-б пока только юрики, все со смарт-картами ЭЦП
                                        Посмотрите в сторону антифрода. Что бы подтверждать можно было не все платежи, а только вызывающие подозрения, их будет не так много.

                                        Комментарий


                                        • Сообщение от giroskop Посмотреть сообщение
                                          Никто не ходил к руководству по вопросу исполнения п. 2.8.2 (одноразовые пароли)? У нас возникло 2 вопроса в ходе обсуждения:
                                          - Есть клиенты, которые отправляют тысячи платежей в день (пакетами). В этом случае коды будут приходить все равно на каждый платеж. Таких клиентов нужно будет все равно отключить от сервиса (это возможно). В результате, оценка все равно будет 0.5? Единицу уже не поставишь?
                                          - Смс тарифицируются поставщиком услуг И-б. Для клиента цена обслуживания не меняется, все издержки несет банк и по усмотрению повышает цену для клиента. Надо пересчитывать тариф.

                                          У нас в И-б пока только юрики, все со смарт-картами ЭЦП
                                          Но от вас же никто не требует использовать одноразовые пароли! Текст 2.8.2 в части одноразовых паролей: банк "принимает и фиксирует во внутренних документах решения о необходимости использования пароля многоразового действия и одноразового кода подтверждения...". Другими словами - банк может зафиксировать во внутреннем документе решение о том, что применять одноразовые пароли нецелесообразно.
                                          Косвенно это подтверждается следующим абзацем 2.8.2, абзац начинается со слов "В случае принятия соответствующего решения", т.е. допускается два варианта событий:
                                          - в случае принятия решения об использовании одноразовых паролей, необходимо выполнить все условия, перечисленные ниже;
                                          - в случае принятия решения о том, что одноразовые пароли использоваться не будут - пропускаем все подпункты, описывающие требования к одноразовым паролям.
                                          Короче, стандартное ветвление "if, else".
                                          И в случае принятия решения о том, чтобы не использовать одноразовые коды, и наличии такого документа естественно, по п. 57.1 ставим 1, по п. 57.2 - н/о.

                                          Комментарий


                                          • Сообщение от Tor Посмотреть сообщение
                                            Сообщение от giroskop


                                            Никто не ходил к руководству по вопросу исполнения п. 2.8.2 (одноразовые пароли)? У нас возникло 2 вопроса в ходе обсуждения:
                                            - Есть клиенты, которые отправляют тысячи платежей в день (пакетами). В этом случае коды будут приходить все равно на каждый платеж. Таких клиентов нужно будет все равно отключить от сервиса (это возможно). В результате, оценка все равно будет 0.5? Единицу уже не поставишь?
                                            - Смс тарифицируются поставщиком услуг И-б. Для клиента цена обслуживания не меняется, все издержки несет банк и по усмотрению повышает цену для клиента. Надо пересчитывать тариф.

                                            У нас в И-б пока только юрики, все со смарт-картами ЭЦП



                                            Но от вас же никто не требует использовать одноразовые пароли! Текст 2.8.2 в части одноразовых паролей: банк "принимает и фиксирует во внутренних документах решения о необходимости использования пароля многоразового действия и одноразового кода подтверждения...". Другими словами - банк может зафиксировать во внутреннем документе решение о том, что применять одноразовые пароли нецелесообразно.
                                            Косвенно это подтверждается следующим абзацем 2.8.2, абзац начинается со слов "В случае принятия соответствующего решения", т.е. допускается два варианта событий:
                                            - в случае принятия решения об использовании одноразовых паролей, необходимо выполнить все условия, перечисленные ниже;
                                            - в случае принятия решения о том, что одноразовые пароли использоваться не будут - пропускаем все подпункты, описывающие требования к одноразовым паролям.
                                            Короче, стандартное ветвление "if, else".
                                            И в случае принятия решения о том, чтобы не использовать одноразовые коды, и наличии такого документа естественно, по п. 57.1 ставим 1, по п. 57.2 - н/о.
                                            Была тут уже дискуссия на эту тему
                                            Я придерживаюсь иного мнения. К тому же решение уже утвердили.

                                            Сейчас стратегия скорее всего будет следующая:
                                            57.1 - ставим 1
                                            57.2 - ставим 0.5. Внедряем только пароли на вход. Это и не так затратно, не так хлопотно для клиента и дает основание полагать, что требование исполнено частично.

                                            Комментарий


                                            • Сообщение от giroskop Посмотреть сообщение
                                              Была тут уже дискуссия на эту тему
                                              Я придерживаюсь иного мнения. К тому же решение уже утвердили.

                                              Сейчас стратегия скорее всего будет следующая:
                                              57.1 - ставим 1
                                              57.2 - ставим 0.5. Внедряем только пароли на вход. Это и не так затратно, не так хлопотно для клиента и дает основание полагать, что требование исполнено частично.
                                              А ещё это даёт основание ЦБ написать вам замечание при проверке, которое хочется того или нет, но придётся устранять.
                                              Так что либо выполнять полностью, либо отказываться от такой функции.

                                              Комментарий


                                              • Сообщение от Berckut Посмотреть сообщение
                                                Так что либо выполнять полностью, либо отказываться от такой функции.
                                                а полностью и не получится, потому что внедряем сейчас систему И-б для физлиц. И большая вероятность того, что будет внедрена до конца года

                                                Есть еще вариант отключить несколько крупных клиентов по их заявлению или протоколом. Мол нецелесообразно. В этом случае оценка будет тоже 0.5, как я понимаю.

                                                Комментарий


                                                • Добрый день коллеги, получили в Банк письмо от НКО ОРС о предоставлении результатов оценки формы 1 и 2 Приложения 1 к 382-П.

                                                  Собственно вопрос, что будет за непредоставление этих данных?

                                                  Сам документ с бюллетенем требований вот http://www.ors.ru/files/Bulleten_17_USS.pdf

                                                  Комментарий


                                                  • Bruno Kimmelman,
                                                    что-то долго до вас оно шло - 2 месяца. Там написано, - в соответствии с п 1.3 операционных правил. В правилах - варианты предписание/ограничение/отключение.
                                                    А в чем проблема ответить? требуют только самооценку, без подтверждающих документов. На значение самооценки никак не реагируют.
                                                    Я словно лист на ветру, посмотри как я лечу...

                                                    Комментарий


                                                    • Bruno Kimmelman, Они имеют на это право, так как ваша организация участник их ПС и согласно п.2.16.1 вы обязаны им все предоставить.

                                                      Комментарий


                                                      • Mc`Sim, в данном письме они просят предоставить документальное подтверждение ,т.е.формы 1 и 2 Приложения 1 к Положению Банка России № 382-П.

                                                        Комментарий


                                                        • Уважаемые коллеги, прошу поделиться мнением в части реализации п .2.8.3.
                                                          Если клиент А указал, что хочет отправлять платежи только на контрагента Х, а через некоторое время приходит платеж от клиента А на контрагента В и данный платеж банком проведен. Может ли клиент А обратиться в банк и потребовать вернуть ему деньги которые получил контрагент В, в связи с тем, что банк не выполни требований указанных в договоре на ДБО.

                                                          Комментарий


                                                          • Сообщение от khusainov rustam Посмотреть сообщение
                                                            Уважаемые коллеги, прошу поделиться мнением в части реализации п .2.8.3.
                                                            Если клиент А указал, что хочет отправлять платежи только на контрагента Х, а через некоторое время приходит платеж от клиента А на контрагента В и данный платеж банком проведен. Может ли клиент А обратиться в банк и потребовать вернуть ему деньги которые получил контрагент В, в связи с тем, что банк не выполни требований указанных в договоре на ДБО.
                                                            Для того чтобы ответить Вам на этот вопрос нужно прочитать весь ваш договор ДБО.

                                                            Комментарий


                                                            • khusainov rustam,
                                                              лично списывался с ОРС и отправлял самооценку еще 1,5 месяца назад - они хотят только саму самооценку по ЦБ-шной форме. с подписью вождя, конечно.
                                                              Я словно лист на ветру, посмотри как я лечу...

                                                              Комментарий

                                                              500 Портал временно недоступен

                                                              Портал временно недоступен

                                                              Возникла ошибка при открытии страницы. Обновите страницу или перейдите на главную
                                                              Обновите страницу спустя некоторое время.

                                                              Агенство Bankir.Ru приносит извинения пользователям
                                                              за доставленные неудобства
                                                              Обработка...
                                                              X