5 июля, воскресенье 23:48
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от ost Посмотреть сообщение
    Кстати, меня напрягает новый пункт 2.19
    Вот скажите, кто как его понимает?



    Вопросы на засыпку:
    - этот пункт только для эмитента или также и для эквайера?
    - как узнать начало срока действия карты?
    - как узнать, на какой территории эмитирована карта?
    - если транзакция идёт через интернет-POS (да любая транзакция типа card not present) как узнать, с микропроцессором карта или без?
    - как поступать с виртуальными картами?


    А есть ли какая либо обязанность использовать при переводе денежных средств именно чип, а не магнитную полосу, в 382-П не нашел, в 161-ФЗ тоже. Появляется обязанность только их выпускать.

    То-есть по факту карта с магнитной полосой без чипа. после Июля, должна иметь чип и магнитную полосу по желанию. но нет обязанности читать именно чип, можно же так же юзать полосу и все?

    Комментарий


    • Сообщение от Александр Четвертый Посмотреть сообщение
      serhius, некоторые банки взаимодействуют с операторами связи. что конкретно они передают друг другу - великая тайна (может хэш ICCID, а может что другое), но факт такого взаимодействия точно есть - http://habrahabr.ru/post/97925/
      Смена СИМ карты легко определяется. Достаточно отправить СМС и запросить в статусе доставки номер СИМки, потом этот номер можно сохранить и указывать в СМС не только номер телефона, но и номер СИМки. Никаких нарушений в этом нет.

      Комментарий


      • Сообщение от Dmitriy22 Посмотреть сообщение
        Появляется обязанность только их выпускать.
        А вот это вы ошибаетесь. Эмиссию карт регулирует 266-П. 382-П не регулирует эмиссию и не может указывать банку какие карты выпускать. Более того, 382-П не регулирует расчеты.
        В ряде случаев вообще нельзя узнать какая карта использована, с чипом или без. Дату начала действия карты также невозможно установить для чужих карт.

        С другой стороны, выпуская карты с чипом, просто необходимо запрещать транзакции по магнитной полосе, иначе нет смысла выпускать чипы, вас точно также будут раздевать со скиммерами.

        Вобщем, в 2.19 написана глупость.

        Комментарий


        • Сообщение от ost Посмотреть сообщение
          А вот это вы ошибаетесь. Эмиссию карт регулирует 266-П. 382-П не регулирует эмиссию и не может указывать банку какие карты выпускать. Более того, 382-П не регулирует расчеты.
          В ряде случаев вообще нельзя узнать какая карта использована, с чипом или без. Дату начала действия карты также невозможно установить для чужих карт.

          С другой стороны, выпуская карты с чипом, просто необходимо запрещать транзакции по магнитной полосе, иначе нет смысла выпускать чипы, вас точно также будут раздевать со скиммерами.

          Вобщем, в 2.19 написана глупость.
          Оператор по переводу денежных средств осуществляет переводы денежных средств с применением расчетных (дебетовых), кредитных карт:
          оснащенных микропроцессором, оснащенных микропроцессором и магнитной полосой, выданных (эмитированных) кредитными организациями на территории Российской Федерации, срок действия которых начинается после 1 июля 2015 года;

          382-П Говорится что переводы денежных средств осуществляйте только с карты которые попадают под определенные требования.

          Ps можно ссылку где написано что необходимо запрещать транзакции по полосе.

          Комментарий


          • Коллеги доброго дня, подскажите, в 382-П есть требование о защите платежной информации при передаче ее . суть в том, что у Банка заключены различные договора с ТСЖ и управляющими компаниями, по которым Банк обязан направлять реестры совершенных платежей этим ТСЖ или УПР. Компаниям. При этом отправка осуществляется по открытым каналам связи через кор. почту на почту ТСЖ (обычно @mail.ru).
            Подскажите какой пункт в 382-П требует защиты такой информации при при ее передаче. Спасибо.

            Комментарий


            • Сообщение от Dmitriy22 Посмотреть сообщение
              можно ссылку где написано что необходимо запрещать транзакции по полосе.
              Это было в первоначальной редакции указаний. Октябрь прошлого года. Ссылку дать не берусь, могу опубликовать кусок текста.

              2.19.1 Оператор по переводу денежных средств осуществляет переводы денежных средств с использованием расчетных (дебетовых), кредитных карт:
              оснащенных микропроцессором, оснащенных микропроцессором и магнитной полосой, выданных (эмитированных) кредитными организациями на территории Российской Федерации, срок действия которых начинается после 1 января 2015 года;
              оснащенных магнитной полосой и (или) микропроцессором, выданных (эмитированных) кредитными организациями на территории Российской Федерации, срок действия которых начинается до 1 января 2015 года.
              2.19.2. Оператор по переводу денежных средств обеспечивает реализацию запрета на использование в целях удостоверения клиентами права распоряжения денежными средствами при осуществлении переводов денежных средств информации, записанной на магнитной полосе расчетных и кредитных карт, выданных (эмитированных) кредитными организациями на территории Российской Федерации.
              2.19.3. Оператор по переводу денежных средств по запросу клиента обеспечивает временное снятие запрета на использование в целях удостоверения клиентами права распоряжения денежными средствами информации, записанной на магнитной полосе расчетных и кредитных карт, выданных (эмитированных) оператором по переводу денежных средств на территории Российской Федерации, при этом:
              оператор по переводу денежных средств доводит до клиента информацию об угрозах информационной безопасности, сопровождающих снятие указанного запрета;
              срок снятия указанного запрета определяется клиентом в соответствующем запросе;
              форма указанного запроса и возможные способы его передачи устанавливаются оператором по переводу денежных средств.»

              Комментарий


              • Сообщение от khusainov rustam Посмотреть сообщение
                Коллеги доброго дня, подскажите, в 382-П есть требование о защите платежной информации при передаче ее . суть в том, что у Банка заключены различные договора с ТСЖ и управляющими компаниями, по которым Банк обязан направлять реестры совершенных платежей этим ТСЖ или УПР. Компаниям. При этом отправка осуществляется по открытым каналам связи через кор. почту на почту ТСЖ (обычно @mail.ru).
                Подскажите какой пункт в 382-П требует защиты такой информации при при ее передаче. Спасибо.
                Я думаю, что тут речь скорее не о платёжной информации, а о перс.данных. Платежи (переводы денежных средств) уже совершены, а в ТСЖ Вы направляете уже просто информацию о том, кто и сколько заплатил. Наверняка там есть ФИО и адрес, а значит ПДн - т.е. требования по защите при передаче данных надо искать не в 382-П.

                Комментарий


                • А вот это интересно. Есть подробная информация, как это можно сделать (узнать номер сим-карты отправителя СМС)?

                  Комментарий


                  • Сообщение от khusainov rustam Посмотреть сообщение
                    Коллеги доброго дня, подскажите, в 382-П есть требование о защите платежной информации при передаче ее . суть в том, что у Банка заключены различные договора с ТСЖ и управляющими компаниями, по которым Банк обязан направлять реестры совершенных платежей этим ТСЖ или УПР. Компаниям. При этом отправка осуществляется по открытым каналам связи через кор. почту на почту ТСЖ (обычно @mail.ru).
                    Подскажите какой пункт в 382-П требует защиты такой информации при при ее передаче. Спасибо.
                    Мне кажется это пункт 2.1
                    2.1. Требования к обеспечению защиты информации при осуществлении переводов денежных средств применяются для обеспечения защиты следующей информации (далее - защищаемая информация):

                    информации о совершенных переводах денежных средств, в том числе информации, содержащейся в извещениях (подтверждениях), касающихся приема к исполнению распоряжений участников платежной системы, а также в извещениях (подтверждениях), касающихся исполнения распоряжений участников платежной системы; требование об отнесении информации о совершенных переводах денежных средств к защищаемой информации, хранящейся в операционных центрах платежных систем с использованием платежных карт или находящихся за пределами Российской Федерации, устанавливается оператором платежной системы;


                    информации ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой при осуществлении переводов денежных средств.

                    Комментарий


                    • Сообщение от ost Посмотреть сообщение
                      Это было в первоначальной редакции указаний. Октябрь прошлого года. Ссылку дать не берусь, могу опубликовать кусок текста.
                      п. 2.19 введен Указанием Банка России от 14.08.2014 N 3361-У. и сейчас там этого нет, вот и возник вопрос.

                      Так же из 266-П
                      1.11 Внутрибанковские правила утверждаются органом управления кредитной организации, уполномоченным на это ее уставом, и должны быть обязательны для всех сотрудников кредитной организации. Внутрибанковские правила в зависимости от особенностей деятельности кредитной организации должны содержать:
                      порядок деятельности кредитной организации, связанной с эквайрингом платежных карт.

                      Комментарий


                      • Dmitriy22,Спасибо.

                        Комментарий


                        • Tor, Спасибо, буду разбираться!

                          Комментарий


                          • Коллеги поделитесь опытом, кто как классифицировал ТУ ДБО согласно 2.18

                            Комментарий


                            • Сообщение от Dmitriy22 Посмотреть сообщение
                              Коллеги поделитесь опытом, кто как классифицировал ТУ ДБО согласно 2.18
                              Тоже интересно, кто как вопрос решил...
                              Мы сделали примерно такую классификацию:
                              1 класс - ТУ в помещениях банка
                              2 класс - ТУ не в помещениях банка, но с ограниченным доступом или под охраной
                              3 класс - ТУ, не попадающие в первые два класса.
                              Но это пока черновой вариант, продолжаем думать...
                              Последний раз редактировалось Tor; 20.11.2014, 19:24.

                              Комментарий


                              • Сообщение от Dmitriy22 Посмотреть сообщение
                                Мне кажется это пункт 2.1
                                2.1. Требования к обеспечению защиты информации при осуществлении переводов денежных средств применяются для обеспечения защиты следующей информации (далее - защищаемая информация):
                                Эти требования применяются при осуществлении переводов денежных средств.. В случае обмена информацией с ТСЖ - насколько я понимаю, там не осуществляется перевод денежных средств, в ТСЖ просто передаётся реестр, кто им за определённый период оплатил кварт.плату. Никаких платежей, просто сверка, чтобы знать - сколько жильцов заплатили, сколько денег упало на счёт ТСЖ, сколько банк возьмёт комиссии и т.п.

                                Комментарий


                                • Сообщение от Tor Посмотреть сообщение
                                  Мы сделали примерно такую классификацию:
                                  1 класс - ТУ в помещениях банка
                                  2 класс - ТУ не в помещениях банка, но с ограниченным доступом или под охраной
                                  3 класс - ТУ, не попадающие в первые два класса.
                                  Сегодня совещались на эту тему.
                                  Риск установки скиммера -- безразлично где устройство стоит. Подошел вроде как снять деньги, и поставил. Или, что часто бывает, подошел в форме с надписью "АТМ сервис" и с чемоданом -- и делай что хочешь, вскрывай, вынимай кассеты... все подумают, что так и надо.

                                  Исключение -- ТУ ДБО под круглосуточной охраной. (У нас таких нет).

                                  С точки зрения кражи самого ТУ ДБО, да место установки важно.

                                  Комментарий


                                  • Сообщение от Tor Посмотреть сообщение
                                    Эти требования применяются при осуществлении переводов денежных средств.. В случае обмена информацией с ТСЖ - насколько я понимаю, там не осуществляется перевод денежных средств, в ТСЖ просто передаётся реестр, кто им за определённый период оплатил кварт.плату. Никаких платежей, просто сверка, чтобы знать - сколько жильцов заплатили, сколько денег упало на счёт ТСЖ, сколько банк возьмёт комиссии и т.п.
                                    Конечно, между банком и ТСЖ не осуществляется переводов денежных средств. Однако, банк осуществлял переводы от своих клиентов в пользу ТСЖ и эта информация согласно п 2.1 подлежит защите( информации о совершенных переводах денежных средств, в том числе информации, содержащейся в извещениях (подтверждениях), касающихся приема к исполнению распоряжений участников платежной системы, а также в извещениях (подтверждениях), касающихся исполнения распоряжений участников платежной системы; требование об отнесении информации о совершенных переводах денежных средств к защищаемой информации, хранящейся в операционных центрах платежных систем с использованием платежных карт или находящихся за пределами Российской Федерации, устанавливается оператором платежной системы

                                    А по сути вижу такие выходы из ситуации: Обмениваться шифрованными данными на основе эл. почты. подписываем, шифруем в адрес получателя. Либо, решение на основе интернет банка (Ibank2). Дать ТСЖ ключ с функцией отправки и приема писем, и уже в этом режиме обмениваться. второе решение на мой взгляд даже практичнее.

                                    Комментарий


                                    • Сообщение от Dmitriy22 Посмотреть сообщение
                                      А по сути вижу такие выходы из ситуации: Обмениваться шифрованными данными на основе эл. почты. подписываем, шифруем в адрес получателя. Либо, решение на основе интернет банка (Ibank2). Дать ТСЖ ключ с функцией отправки и приема писем, и уже в этом режиме обмениваться. второе решение на мой взгляд даже практичнее.
                                      Кстати да, клиент-банк это выход. К тому же можно склонить ТСЖ открыть в банке счёт, чтоб без комиссий и удобнее платежи зачислять, тогда клиент-банк им почти наверняка понадобится. Этим и вопросы защиты ПДн можно снять, т.к. у большинства всё ж сертифицированная криптография в клиент-банках.

                                      Комментарий


                                      • Сообщение от Tor Посмотреть сообщение
                                        Тоже интересно, кто как вопрос решил...
                                        Мы сделали примерно такую классификацию:
                                        1 класс - ТУ в помещениях банка
                                        2 класс - ТУ не в помещениях банка, но с ограниченным доступом или под охраной
                                        3 класс - ТУ, не попадающие в первые два класса.
                                        Но это пока черновой вариант, продолжаем думать...
                                        Коллега, а как быть с терминалами? Мы их в неделю десятками штук в фирмы и магазины ставим.
                                        Терминал не банкомат, риск кражи и установки скимира выше. Как их классифицировать?

                                        Комментарий


                                        • Коллеги, к нам на днях свалился запрос из ЦБ - просят предоставить подтверждения самооценки по 382-П. Копию акта в бумажном виде, подтверждения выполнения - в виде сканов.
                                          Кого еще не осчастливили - готовьтесь. =)
                                          Я словно лист на ветру, посмотри как я лечу...

                                          Комментарий


                                          • Сообщение от khusainov rustam Посмотреть сообщение
                                            Коллега, а как быть с терминалами? Мы их в неделю десятками штук в фирмы и магазины ставим.
                                            Терминал не банкомат, риск кражи и установки скимира выше. Как их классифицировать?
                                            Можно ещё один класс ввести - ТУ, установленные в местах повышенной опасности или подверженные повышенному риску противоправных действий. Ну или как-то так обозвать.
                                            Просто я думаю, что классификация нужна не сама по себе, а для формализации решения по защите устройств. А выбор средств и мер защиты у нас всё равно определяется экспертным путём, поэтому мы решили отказаться от жёсткой классификации и дать больше свободы экспертам с учётом их опыта классифицировать (и выбирать защиту) ТУ.

                                            Комментарий


                                            • Сообщение от Mc`Sim Посмотреть сообщение
                                              Коллеги, к нам на днях свалился запрос из ЦБ - просят предоставить подтверждения самооценки по 382-П. Копию акта в бумажном виде, подтверждения выполнения - в виде сканов.
                                              Кого еще не осчастливили - готовьтесь. =)
                                              Добрый!
                                              Не подскажите, что подразумевается под: подтверждения выполнения - в виде сканов?
                                              И какие сроки установили для предоставления ответа на запрос?

                                              Комментарий


                                              • Сообщение от Mc`Sim Посмотреть сообщение
                                                Коллеги, к нам на днях свалился запрос из ЦБ - просят предоставить подтверждения самооценки по 382-П. Копию акта в бумажном виде, подтверждения выполнения - в виде сканов.
                                                Кого еще не осчастливили - готовьтесь. =)
                                                У нас тоже уже запрашивали. Документы правда разрешили прислать на CD.

                                                Комментарий


                                                • kula,
                                                  вы предоставляли документы по каждому пункту требования? в каком виде? или просто Отчет о проведении самооценки с цифрами? Срок какой дали на ответ?

                                                  Комментарий


                                                  • Сообщение от ignomka Посмотреть сообщение
                                                    kula,
                                                    вы предоставляли документы по каждому пункту требования? в каком виде? или просто Отчет о проведении самооценки с цифрами? Срок какой дали на ответ?
                                                    Я написала выше, что документы разрешили передать на CD. Предоставила отчет по форме как указано в 382-п (он же готовился у нас по итогам проверки, только не такой подробный), в 4 графе указала объяснение каждой оценке уже прям с пунктами из внутренних документов.
                                                    По-моему на все дали недели 3 или даже 4. В общем, много, как мне показалось.

                                                    Комментарий


                                                    • kula,
                                                      у нас 2 недели.
                                                      Я словно лист на ветру, посмотри как я лечу...

                                                      Комментарий


                                                      • Сообщение от Mc`Sim Посмотреть сообщение
                                                        kula,
                                                        у нас 2 недели.
                                                        я посмотрела сейчас - 25 дней календарных

                                                        Комментарий


                                                        • Есть возможность данный запрос на почту скинуть stopm@pochta.ru У нас Руководство не верит, что по 382-П проверяют.

                                                          Комментарий


                                                          • Скажите, пожалуйста, если наш банк не является (насколько я поняла) участником Нац.плат.системы (161-ФЗ)
                                                            то обязаны ли мы выполнять 382-П и могут ли по данному положению вестись проверки в нашем банке?
                                                            (пластика и подобного у нас нет.)

                                                            Комментарий


                                                            • Сообщение от stopm Посмотреть сообщение
                                                              Есть возможность данный запрос на почту скинуть stopm@pochta.ru У нас Руководство не верит, что по 382-П проверяют.

                                                              +1 gnomik@hu2.ru

                                                              Комментарий

                                                              Обработка...
                                                              X