5 июня, пятница 00:15
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от khusainov rustam Посмотреть сообщение
    При общении с нашим ЦБ, выяснилось, что эти требования мы были обязаны выполнить до 16 марта 2015 г. Есть два варианта решения на мой взгляд:
    1. написать как есть, но есть вероятность вне плановой проверки.
    2. прикрыться бумажками и доказывать руководству, что это все надо делать. Мы внедрили антифрод, кому интересно в личку могу отписаться.
    Напишите пожалуйста по второму пункту в личку

    Комментарий


    • и мне пожалуйста про второй пунктик.! Спасибо.

      Комментарий


      • по 57.3, прокатит ли : принять и зафиксировать во внутренних документах решение о том, что одноразовые коды не нужны. по сути требование не обязывает нас внедрять данное средство защиты, особенно если это не целесообразно..

        Коллеги, каковы ваши мысли о возможности принятия такого решения?но похоже цб явно не этого ждет..

        Комментарий


        • Сообщение от Tony Mertsalov Посмотреть сообщение
          по 57.3, прокатит ли : принять и зафиксировать во внутренних документах решение о том, что одноразовые коды не нужны. по сути требование не обязывает нас внедрять данное средство защиты, особенно если это не целесообразно..

          Коллеги, каковы ваши мысли о возможности принятия такого решения?но похоже цб явно не этого ждет..
          Переложите на Клиента. Банк возможность использования одноразового кода подтверждения предоставляет, а подключать эту услугу или нет решает Клиент.

          Комментарий


          • Ярослав В., на самом деле, многие банки не готовы к предоставлению таких услуг, поэтому и возникают вопросы как обойти этот пункт (-ы)

            Комментарий


            • Мое мнение простое - если в пункте явно указано "Банк принимает и фиксирует в документах решение о необходимости применения таких кодов" то ЦБ и ждет от Банка принятия и фиксации решения о необходимости применения одноразовых кодов.

              Нет возможности - так и пишите "одноразовые коды не применяются" или "одноразовые коды не применяются ввиду отсутствия технической возможности", а руководство пусть подписывает. Я думаю все понимают для чего такие маневры делаются. И хорошо что ЦБ это требует в такой форме.

              Комментарий


              • Сообщение от kula Посмотреть сообщение
                Напишите пожалуйста по второму пункту в личку
                и мне, пожалуйста.

                Комментарий


                • П.2.8.8. "Оператор по переводу денежных средств обеспечивает приостановление пересылки клиенту извещений (подтверждений) о принятии к исполнению распоряжений и иной защищаемой информации и осуществления перевода денежных средств на основании сообщений (кодов), отправленных с номера телефона, указанного в договоре с клиентом, в случае если оператору по переводу денежных средств стало известно о признаках, указывающих на изменение:
                  получателя информации, направленной оператором по переводу денежных средств и используемой при аутентификации клиента;
                  отправителя сообщений (кодов) с номера телефона, указанного в договоре с клиентом, на основании которых осуществляется перевод денежных средств.
                  К указанным признакам может быть отнесена информация о замене SIM-карты клиента, прекращении обслуживания или смене номера телефона, указанного в договоре с клиентом."
                  О чем это? О мобильном банкинге? Или о возможности клиента отправить с мобильника какой-то управляющий код в систему "Клиент-Банк"? Мобильного банкинга у нас нет, а в качестве "Клиент-Банка" используется "iBank2", там нет такой возможности. Разъясните, пожалуйста, кто как понял.

                  Комментарий


                  • Сообщение от TanyaOBR Посмотреть сообщение
                    Сообщение от kula


                    Напишите пожалуйста по второму пункту в личку



                    и мне, пожалуйста.
                    продублируйте мне тоже, пожалуйста

                    Комментарий


                    • Сообщение от tim100 Посмотреть сообщение
                      П.2.8.8. "Оператор по переводу денежных средств обеспечивает приостановление пересылки клиенту извещений (подтверждений) о принятии к исполнению распоряжений и иной защищаемой информации ...
                      Если стало известно о том, что указанный в договоре номер телефона клиенту больше не принадлежит, ОПДС перестает слать на него извещения, одноразовые коды.

                      Сообщение от tim100 Посмотреть сообщение
                      и осуществления перевода денежных средств на основании сообщений (кодов), отправленных с номера телефона, указанного в договоре с клиентом
                      Например, у сбербанка есть возможность осуществлять переводы через смс-команды

                      Комментарий


                      • Сообщение от Berckut Посмотреть сообщение
                        В каком контексте рассматривать новые новые пункты 2.5.7-2.5.10? Все требования сводятся к условию, что ОПДС либо разработал сам (в т.ч. привлёк к разработке кого-то), либо купил готовый продукт для осуществления переводов ДС. Но как быть если приобретается не продукт, а услуга?
                        Например, Faktura.ru или IBank. Банк покупает услугу - по сути сторонняя организация предоставляет систему электронного документооборота в которой, как одной из функций, реализован обмен электронными платёжными документами.






                        2.5.7 При разработке программного обеспечения, предназначенного для использования клиентом при осуществлении переводов денежных средств, самостоятельно или с привлечением сторонних организаций, а также при разработке изменений указанного программного обеспечения оператор по переводу денежных средств обеспечивает реализацию в указанном программном обеспечении функций, связанных:
                        - с выполнением требований к защите информации при осуществлении переводов денежных средств;
                        - с предотвращением несанкционированного доступа к защищаемой информации, передаваемой по информационно-телекоммуникационным сетям, в частности, по сети "Интернет".
                        Оператор по переводу денежных средств контролирует реализацию указанных функций при разработке программного обеспечения с привлечением сторонней организации, а также при закупке готового к использованию без дополнительной доработки программного обеспечения.
                        Не рассматривали вопрос?

                        Комментарий


                        • Ребят кто может поделиться методикой классификации ТУ ДБО, читал тут разные подходы, ну что-то точная определенность не найдена. Я так понимаю, суть классификации заключается в том, чтобы определить для каждого классы необходимые меры защиты, исходя из следующих факторов:
                          - возможностей несанкционированного получения информации, необходимой для осуществления переводов денежных средств;
                          - возможностей осуществления воздействия, приводящего к сбоям, отказам, повреждению ТУ ДБО;
                          - особенностей конструкции ТУ ДБО;
                          - места установки ТУ ДБО.

                          Комментарий


                          • Сообщение от giroskop Посмотреть сообщение
                            Не рассматривали вопрос?
                            Вопрос до сих пор открыт

                            Комментарий


                            • Сообщение от dmitryyanov87 Посмотреть сообщение
                              Ребят кто может поделиться методикой классификации ТУ ДБО, читал тут разные подходы, ну что-то точная определенность не найдена. Я так понимаю, суть классификации заключается в том, чтобы определить для каждого классы необходимые меры защиты, исходя из следующих факторов:
                              - возможностей несанкционированного получения информации, необходимой для осуществления переводов денежных средств;
                              - возможностей осуществления воздействия, приводящего к сбоям, отказам, повреждению ТУ ДБО;
                              - особенностей конструкции ТУ ДБО;
                              - места установки ТУ ДБО.
                              Во вложении пример от МВД.
                              Вложения

                              Комментарий


                              • Вопрос что дают эти классы (кстати в этой инструкции рассматриваются только аспекты физической охраны)? Суть наверное в том чтобы определить классы исходя из 4 факторов, после чего определить меры защиты для каждого класса. Так же, я думаю, результаты должны отражать решения о необходимости применения следующих мер и средств защиты информации:
                                - установка на (в) ТУ ДБО технических средств, предназначенных для обнаружения и (или) предотвращения (затруднения) работы несанкционированно установленного оборудования;
                                - установка на (в) ТУ ДБО технических средств защиты информации от воздействия вредоносного кода
                                - регистрация доступа к банкоматам, в том числе с использованием систем видеонаблюдения;

                                Может все таки кто-нибудь поделится методикой классификации ТУ ДБО (не результатами) исходя из 4 факторов, а не только исходя из фактора - места установки

                                Комментарий


                                • Никто не ходил к руководству по вопросу исполнения п. 2.8.2 (одноразовые пароли)? У нас возникло 2 вопроса в ходе обсуждения:
                                  - Есть клиенты, которые отправляют тысячи платежей в день (пакетами). В этом случае коды будут приходить все равно на каждый платеж. Таких клиентов нужно будет все равно отключить от сервиса (это возможно). В результате, оценка все равно будет 0.5? Единицу уже не поставишь?
                                  - Смс тарифицируются поставщиком услуг И-б. Для клиента цена обслуживания не меняется, все издержки несет банк и по усмотрению повышает цену для клиента. Надо пересчитывать тариф.

                                  У нас в И-б пока только юрики, все со смарт-картами ЭЦП

                                  Комментарий


                                  • Сообщение от giroskop Посмотреть сообщение
                                    Никто не ходил к руководству по вопросу исполнения п. 2.8.2 (одноразовые пароли)? У нас возникло 2 вопроса в ходе обсуждения:
                                    - Есть клиенты, которые отправляют тысячи платежей в день (пакетами). В этом случае коды будут приходить все равно на каждый платеж. Таких клиентов нужно будет все равно отключить от сервиса (это возможно). В результате, оценка все равно будет 0.5? Единицу уже не поставишь?
                                    - Смс тарифицируются поставщиком услуг И-б. Для клиента цена обслуживания не меняется, все издержки несет банк и по усмотрению повышает цену для клиента. Надо пересчитывать тариф.

                                    У нас в И-б пока только юрики, все со смарт-картами ЭЦП
                                    Если при проверке вы докажете, что исполнение данного пункта для вас невозможно и подтвердите это документально, то выполнение этого пункта не обязательно. Так мне объяснили в местном ЦБ.
                                    В качестве обоснования можно протоколом совещания зафиксировать тот факт, что вы будите к примеру отправлять только подтверждение об операции на почту клиента, так как отправлять одноразовые коды для ваших клиентов не рационально и для них не эффективно. (отправляют тысячи платежей в день (пакетами)).
                                    попробуйте узнать у вашего ЦБ, возможно ли такое или нет?

                                    Комментарий


                                    • Сообщение от khusainov rustam Посмотреть сообщение
                                      попробуйте узнать у вашего ЦБ, возможно ли такое или нет?
                                      невозможно, но ЦБ тут ни при чем: нет такой функции у поставщика услуг. Только смски. В ВНД мы предусмотрели отправку на почту и так и хотели реализовать, но увы

                                      Комментарий


                                      • Сообщение от giroskop Посмотреть сообщение
                                        Никто не ходил к руководству по вопросу исполнения п. 2.8.2 (одноразовые пароли)? У нас возникло 2 вопроса в ходе обсуждения:
                                        - Есть клиенты, которые отправляют тысячи платежей в день (пакетами). В этом случае коды будут приходить все равно на каждый платеж. Таких клиентов нужно будет все равно отключить от сервиса (это возможно). В результате, оценка все равно будет 0.5? Единицу уже не поставишь?
                                        - Смс тарифицируются поставщиком услуг И-б. Для клиента цена обслуживания не меняется, все издержки несет банк и по усмотрению повышает цену для клиента. Надо пересчитывать тариф.

                                        У нас в И-б пока только юрики, все со смарт-картами ЭЦП
                                        Посмотрите в сторону антифрода. Что бы подтверждать можно было не все платежи, а только вызывающие подозрения, их будет не так много.

                                        Комментарий


                                        • Сообщение от giroskop Посмотреть сообщение
                                          Никто не ходил к руководству по вопросу исполнения п. 2.8.2 (одноразовые пароли)? У нас возникло 2 вопроса в ходе обсуждения:
                                          - Есть клиенты, которые отправляют тысячи платежей в день (пакетами). В этом случае коды будут приходить все равно на каждый платеж. Таких клиентов нужно будет все равно отключить от сервиса (это возможно). В результате, оценка все равно будет 0.5? Единицу уже не поставишь?
                                          - Смс тарифицируются поставщиком услуг И-б. Для клиента цена обслуживания не меняется, все издержки несет банк и по усмотрению повышает цену для клиента. Надо пересчитывать тариф.

                                          У нас в И-б пока только юрики, все со смарт-картами ЭЦП
                                          Но от вас же никто не требует использовать одноразовые пароли! Текст 2.8.2 в части одноразовых паролей: банк "принимает и фиксирует во внутренних документах решения о необходимости использования пароля многоразового действия и одноразового кода подтверждения...". Другими словами - банк может зафиксировать во внутреннем документе решение о том, что применять одноразовые пароли нецелесообразно.
                                          Косвенно это подтверждается следующим абзацем 2.8.2, абзац начинается со слов "В случае принятия соответствующего решения", т.е. допускается два варианта событий:
                                          - в случае принятия решения об использовании одноразовых паролей, необходимо выполнить все условия, перечисленные ниже;
                                          - в случае принятия решения о том, что одноразовые пароли использоваться не будут - пропускаем все подпункты, описывающие требования к одноразовым паролям.
                                          Короче, стандартное ветвление "if, else".
                                          И в случае принятия решения о том, чтобы не использовать одноразовые коды, и наличии такого документа естественно, по п. 57.1 ставим 1, по п. 57.2 - н/о.

                                          Комментарий


                                          • Сообщение от Tor Посмотреть сообщение
                                            Сообщение от giroskop


                                            Никто не ходил к руководству по вопросу исполнения п. 2.8.2 (одноразовые пароли)? У нас возникло 2 вопроса в ходе обсуждения:
                                            - Есть клиенты, которые отправляют тысячи платежей в день (пакетами). В этом случае коды будут приходить все равно на каждый платеж. Таких клиентов нужно будет все равно отключить от сервиса (это возможно). В результате, оценка все равно будет 0.5? Единицу уже не поставишь?
                                            - Смс тарифицируются поставщиком услуг И-б. Для клиента цена обслуживания не меняется, все издержки несет банк и по усмотрению повышает цену для клиента. Надо пересчитывать тариф.

                                            У нас в И-б пока только юрики, все со смарт-картами ЭЦП



                                            Но от вас же никто не требует использовать одноразовые пароли! Текст 2.8.2 в части одноразовых паролей: банк "принимает и фиксирует во внутренних документах решения о необходимости использования пароля многоразового действия и одноразового кода подтверждения...". Другими словами - банк может зафиксировать во внутреннем документе решение о том, что применять одноразовые пароли нецелесообразно.
                                            Косвенно это подтверждается следующим абзацем 2.8.2, абзац начинается со слов "В случае принятия соответствующего решения", т.е. допускается два варианта событий:
                                            - в случае принятия решения об использовании одноразовых паролей, необходимо выполнить все условия, перечисленные ниже;
                                            - в случае принятия решения о том, что одноразовые пароли использоваться не будут - пропускаем все подпункты, описывающие требования к одноразовым паролям.
                                            Короче, стандартное ветвление "if, else".
                                            И в случае принятия решения о том, чтобы не использовать одноразовые коды, и наличии такого документа естественно, по п. 57.1 ставим 1, по п. 57.2 - н/о.
                                            Была тут уже дискуссия на эту тему
                                            Я придерживаюсь иного мнения. К тому же решение уже утвердили.

                                            Сейчас стратегия скорее всего будет следующая:
                                            57.1 - ставим 1
                                            57.2 - ставим 0.5. Внедряем только пароли на вход. Это и не так затратно, не так хлопотно для клиента и дает основание полагать, что требование исполнено частично.

                                            Комментарий


                                            • Сообщение от giroskop Посмотреть сообщение
                                              Была тут уже дискуссия на эту тему
                                              Я придерживаюсь иного мнения. К тому же решение уже утвердили.

                                              Сейчас стратегия скорее всего будет следующая:
                                              57.1 - ставим 1
                                              57.2 - ставим 0.5. Внедряем только пароли на вход. Это и не так затратно, не так хлопотно для клиента и дает основание полагать, что требование исполнено частично.
                                              А ещё это даёт основание ЦБ написать вам замечание при проверке, которое хочется того или нет, но придётся устранять.
                                              Так что либо выполнять полностью, либо отказываться от такой функции.

                                              Комментарий


                                              • Сообщение от Berckut Посмотреть сообщение
                                                Так что либо выполнять полностью, либо отказываться от такой функции.
                                                а полностью и не получится, потому что внедряем сейчас систему И-б для физлиц. И большая вероятность того, что будет внедрена до конца года

                                                Есть еще вариант отключить несколько крупных клиентов по их заявлению или протоколом. Мол нецелесообразно. В этом случае оценка будет тоже 0.5, как я понимаю.

                                                Комментарий


                                                • Добрый день коллеги, получили в Банк письмо от НКО ОРС о предоставлении результатов оценки формы 1 и 2 Приложения 1 к 382-П.

                                                  Собственно вопрос, что будет за непредоставление этих данных?

                                                  Сам документ с бюллетенем требований вот http://www.ors.ru/files/Bulleten_17_USS.pdf

                                                  Комментарий


                                                  • Bruno Kimmelman,
                                                    что-то долго до вас оно шло - 2 месяца. Там написано, - в соответствии с п 1.3 операционных правил. В правилах - варианты предписание/ограничение/отключение.
                                                    А в чем проблема ответить? требуют только самооценку, без подтверждающих документов. На значение самооценки никак не реагируют.
                                                    Я словно лист на ветру, посмотри как я лечу...

                                                    Комментарий


                                                    • Bruno Kimmelman, Они имеют на это право, так как ваша организация участник их ПС и согласно п.2.16.1 вы обязаны им все предоставить.

                                                      Комментарий


                                                      • Mc`Sim, в данном письме они просят предоставить документальное подтверждение ,т.е.формы 1 и 2 Приложения 1 к Положению Банка России № 382-П.

                                                        Комментарий


                                                        • Уважаемые коллеги, прошу поделиться мнением в части реализации п .2.8.3.
                                                          Если клиент А указал, что хочет отправлять платежи только на контрагента Х, а через некоторое время приходит платеж от клиента А на контрагента В и данный платеж банком проведен. Может ли клиент А обратиться в банк и потребовать вернуть ему деньги которые получил контрагент В, в связи с тем, что банк не выполни требований указанных в договоре на ДБО.

                                                          Комментарий


                                                          • Сообщение от khusainov rustam Посмотреть сообщение
                                                            Уважаемые коллеги, прошу поделиться мнением в части реализации п .2.8.3.
                                                            Если клиент А указал, что хочет отправлять платежи только на контрагента Х, а через некоторое время приходит платеж от клиента А на контрагента В и данный платеж банком проведен. Может ли клиент А обратиться в банк и потребовать вернуть ему деньги которые получил контрагент В, в связи с тем, что банк не выполни требований указанных в договоре на ДБО.
                                                            Для того чтобы ответить Вам на этот вопрос нужно прочитать весь ваш договор ДБО.

                                                            Комментарий


                                                            • khusainov rustam,
                                                              лично списывался с ОРС и отправлял самооценку еще 1,5 месяца назад - они хотят только саму самооценку по ЦБ-шной форме. с подписью вождя, конечно.
                                                              Я словно лист на ветру, посмотри как я лечу...

                                                              Комментарий

                                                              Обработка...
                                                              X