Требования к мобильным приложениям банков хотят ужесточить

Требования к мобильным приложениям банков хотят ужесточить

АРРФР разработало дополнительные меры для повышения уровня защиты в сфере онлайн-кредитования, передает LS.

Данный проект постановления направлен на усиление безопасности дистанционного оказания услуг банка и финорганизаций.

В документе регулятор обозначил требования к предоставлению защиты программного обеспечения (ПО) финструктур, которые включают:

  • ПО серверов веб-приложений;
  • ПО для мобильных устройств;
  • ПО серверов программных интерфейсов.

Разработка и доработка подобного программного обеспечения осуществляется банком или финорганизацией в соответствии с утвержденным исполнительным органом внутренним документом, регламентирующим порядок и этапы разработки и их участников.

Если данный документ будет передан сторонней организации или третьему лицу, то банк или финорганизация должны проконтролировать исполнение данными лицами требований надежности и внутренних документов, отвечающих за состояние безопасности ПО банковского приложения.

«Хранение исходных кодов программного обеспечения дистанционного оказания услуг, разрабатываемых в банке, организации, осуществляется в специализированных системах управления репозиториями кода, размещаемых в периметре защиты банка, организации, с обеспечением резервного копирования», – говорится в проекте. 

При этом обязательным пунктом в документе является тестирование безопасности, в ходе которого осуществляются как минимум статический анализ исходного кода и анализ компонентов и сторонних библиотек.

«Банк или финорганизация обеспечивают реализацию корректирующих мер по устранению выявленных уязвимостей в порядке, определенном внутренним документом, утвержденным исполнительным органом. При этом критичные проблемы устраняются до ввода в эксплуатацию ПО его новых версий», – уточняется в документе. 

А для ввода в эксплуатацию понадобится согласование с подразделением по информационной безопасности.

Также финорганизации и банки должны будут обеспечивать хранение и доступ в оперативном режиме ко всем версиям исходных кодов ПО и результатов тестирования безопасности, которые были введены в эксплуатацию.

Обмен данными между клиентской и серверной сторонами программного обеспечения предлагается шифровать с использованием версии протокола Transport Layer Security не ниже 1.2.

Между тем при первичной регистрации клиента в мобильном приложении будет проводиться его биометрическая идентификация посредством Центра обмена идентификационными данными (ЦОИД) или с помощью биометрических данных, полученных посредством устройств банка или финорганизации.

«Изменение кода доступа (пароля) к приложению осуществляется посредством биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД или полученных посредством устройств банка, организации. Идентификация и аутентификация клиента в ПО осуществляется с применением способов двухфакторной аутентификации (использованием двух из трех факторов: знания, владения, неотъемлемости). Делегирование этих функций клиента сторонним организациям или третьим лицам не допускается», – поясняется в проекте. 

Кроссдоменную аутентификацию планируют совершать только между доменами третьего уровня или выше, которые имеют общий родительский домен второго уровня, или между доменом второго уровня и его дочерними доменами.

При этом мобильное приложение не сможет пользоваться функционалом встраиваемых веб-страниц (компонент WebView).

Публичное обсуждение документа продлится до 6 октября 2023 года. 

Ранее LS писал, что требования к информационной безопасности мобильных приложений финструктур будут ужесточены.

Источник: lsm.kz

Яндекс.Метрика