Komisja Nadzoru Finansowego wydała w ubiegłym tygodniu rekomendację dotyczącą bezpieczeństwa płatności w internecie. Ma ona dotyczyć banków, SKOK-ów i innych instytucji płatniczych.

Postanowienia Rekomendacji mają na celu ujednolicenie zakresu minimalnych wymogów dotyczących zapewnienia bezpieczeństwa płatności internetowych w związku ze świadczeniem usług płatniczych oferowanych przez banki , krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego i spółdzielcze kasy oszczędnościowo - kredytowe (dalej: dostawcy usług płatniczych) przez Internet.

Dokument zawiera 14 rekomendacji. Jedną z nich jest m. i n.Rekomendacja Nr 5: Dostawcy usług płatniczych powinni stosować procesy zapewniające, aby wszystkie transakcje, jak również przebieg procesu polecenia zapłaty, były odpowiednio śledzone.

Tym samym dostawcy usług płatniczych powinni zapewniać, aby świadczone przez nich usługi uwzględniały mechanizmy bezpieczeństwa umożliwiające szczegółowe rejestrowanie transakcji i danych dotyczących poleceń zapłaty, w tym numerów porządkowych transakcji, znaczników czasowych danych transakcyjnych, zmian parametryzacji, a także danych dotyczących dostępu do transakcji i poleceń zapłaty.

Na uwagę zasługuje też Rekomendacja Nr 10. Zdaniem KNF dostawcy usług płatniczych powinni stosować mechanizmy monitorowania transakcji mające na celu zapobieganie nielegalnym/oszukańczym transakcjom oraz wykrywanie i blokowanie takich transakcji płatniczych przed wykonaniem przez dostawcę usługi płatności internetowej. Transakcje podejrzane lub wysokiego ryzyka powinny podlegać szczególnej procedurze kontroli i oceny. Analogiczne mechanizmy monitorowania bezpieczeństwa i autoryzacji powinny funkcjonować również w zakresie wystawiania poleceń zapłaty.

Ciekawy aspekt KNF porusza w Rekomendacja Nr 12. Zgodnie z dokumentem dostawcy usług płatniczych powinni zapewniać klientom niezbędną pomoc i wsparcie w zakresie bezpiecznego korzystania z usług płatności internetowych i stosować w tym zakresie przyjętą politykę edukacyjną . Ponadto powinni komunikować się z klientami w sposób umożliwiający im stwierdzenie autentyczności otrzymanych wiadomości. Ma to szczególne znaczenie w przypadku ataków phishingowych, które w mijającym roku masowo dotknęły polskie instytucje.

Dostawcy usług płatniczych powinni zapewniać funkcjonowanie co najmniej jednego bezpiecznego kanału na potrzeby bieżącej komunikacji z klientami w zakresie poprawnego i bezpiecznego korzystania z usług płatności internetowych.

Ponadto instytucje powinny wyjaśniać klientom:

1. procedury zgłaszania dostawcom usług płatniczych (potencjalnych) transakcji oszukańczych, podejrzanych zdarzeń i nietypowych sytuacji w trakcie sesji usług płatności internetowych lub potencjalnych prób zastosowania technik manipulacji ludźmi mającymi na celu pozyskanie informacji (np. poprzez e - mail lub telefon) lub ich wyszukiwanie w sieciach społecznościowych w celu dokonania oszustwa lub uzyskania nieautoryzowanego dostępu do komputera lub sieci (ataki socjotechniczne)

2. kolejne kroki, tj. w jaki sposób dostawca usług płatniczych odpowie klientowi; w jaki sposób dostawca usług płatniczych będzie powiadamiał klienta o (potencjalnych) transakcjach oszukańczych lub ich nie zainicjowaniu, lub ostrzegał klienta o wystąpieniu ataków (np. e - maili phishingowych).

Banki powinny również informować klientów poprzez bezpieczny kanał o aktualizacjach procedur bezpieczeństwa dotyczących usług płatności internetowych. Bezpiecznym kanałem powinny być również przekazywane wszelkie powiadomienia o pojawiających się istotnych ryzykach (np. ostrzeżenia przed atakami socjotechnicznymi).

Zdaniem KNF dostawcy usług płatniczych powinni zapewniać klientom wsparcie w zakresie wszelkich zapytań, skarg, wniosków o wsparcie oraz powiadomień o nietypowych sytuacjach i incydentach w zakresie płatności internetowych i związanych z nimi usług. Klienci powinni być odpowiednio informowani o sposobach uzyskiwania takiego wsparcia.

Ponadto dostawcy powinni prowadzić programy edukowania i uświadamiania klientów mające na celu zapewnienie, aby klienci rozumieli co najmniej potrzebę:
- ochrony haseł, tokenów, danych osobowych i innych poufnych danych przed dostępem osób nieuprawnionych , w celu ograniczenia nieakceptowalnego ryzyka naruszenia zasady nieujawniania spersonalizowanych danych do logowania ;
- właściwego zarządzania bezpieczeństwem urządzeń osobistych (np. komputerów) poprzez instalowanie i aktualizowanie komponentów bezpieczeństwa (programów antywirusowych, zapór sieciowych, poprawek bezpieczeństwa);
- analizowania poważnych zagrożeń i ryzyk związanych z pobieraniem oprogramowania z internetu w przypadku, gdy klienci nie mogą być pewni, że oprogramowanie to jest autentyczne i nie było przedmiotem manipulacji;
- korzystania z autentycznych stron internetowych dostawcy usług płatniczych.

Dostawcy usług płatniczych będący agentami rozliczeniowymi powinni wymagać od akceptantów jasnego oddzielenia procesów dokonywania płatności od dokonywania zakupów online w celu ułatwienia klientom identyfikowania sytuacji, w których komunikują się oni z dostawcą usług płatniczych, a nie z odbiorcami płatności (np. poprzez przekierowywanie klientów i otwieranie osobnego okna, przez co proces płatności nie będzie widoczny w ramce akceptacji.

Źródło: Komisja Nadzoru Finansowego

oprac. T.J.