Данная новость была опубликована 8 октября 2019 года на сайте Британского института стандартов (BSI).
Мой комментарий: Европейские Директивы о платёжных услугах - первая Директива 2007/64/EC (The Payment Services Directive, PSD, см. https://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX%3A32007L0064 ), впоследствии заменённая второй Директивой 2015/2366, PSD2, см. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32015L2366 ) - регламентируют платёжные услуги и деятельность поставщиков таких услуг в Евросоюзе и Европейской экономической зоне (EEA).
Британский институт стандартов BSI, одной из задач которого является способствование совершенствованию деловой деятельности, опубликовал публично доступные спецификации (publicly available specification) PAS 499:2019 «Свод практики цифровой идентификации и строгой аутентификации клиентов» (Code of practice for digital identification and strong customer authentication) объёмом 36 страниц.
Киберпреступность и мошенничество являются наиболее быстро растущими областями криминальной активности, а уязвимости в используемых организациями методах и практике идентификации и аутентификации являются причиной большей части этого нежелательного роста. Внедрение надежных процессов крайне важно для минимизации рисков для организаций и их пользователей, для сотрудников и партнеров, имеющих отношение к онлайн-транзакциям и услугам. Евродиректива PSD2 и связанные с ней нормативно-правовые акты требуют гарантий идентификации и строгой аутентификации клиентов.
Новый PAS 499:2019 предназначен для организаций, подпадающих под нормативные требования в соответствии с директивой PSD2 и взаимосвязанными нормативными актами. В нём основное внимание уделяется принципам управления, и он написан с точки зрения регуляторов на идентификацию и строгую аутентификацию клиентов, включая следующие вопросы (по сути, приводится содержание документа, за исключением стандартных разделов – Н.Х.):
- Проверка корректности и действительности идентификационного профиля (identity validation)
- Проверка принадлежности идентификационного профиля заявителю (identity verification)
- Регистрация (enrolment)
- Аутентификация
- Делегирование полномочий и авторизация
- Безопасность и удобство использования
- Модели риска для аутентификации
Документ не распространяется на бесконтактные платежи с помощью пластиковых карт; на транзакции в контексте интернета вещей; на криптовалюты; на специфические особенности платежных устройств и платежных терминалов.
По мнению ведущего специалиста BSI по цифровым технологиям Тима МакГарра (Tim McGarr), «В период, когда киберпреступность и мошенничество набирают обороты, крайне важно, чтобы организации имели надежные процессы цифровой идентификации и аутентификации пользователей, чтобы минимизировать риски своих онлайн-транзакций. Спецификации PAS 499:2019 дают рекомендации, необходимые для оптимизации и внедрения систем, поддерживающих исполнение законодательно-нормативных требований».
PAS 499:2019 был разработан техническим комитетом и прошел обсуждение экспертами и публичное обсуждение в соответствии с обычной практикой для такого рода документов, принимаемых на основе консенсуса.
Более подробную информацию о PAS 499:2019 можно найти на странице по адресу https://shop.bsigroup.com/ProductDetail?pid=000000000030342524
Мой комментарий: Документ представляет собой свод высокоуровневых требований, не вдаваясь при этом в детали и не ограничивая организации в выборе способа выполнения этих требований. Очень многие требования упоминают документирование и документы.
Источник: сайт Британского института стандартов
https://www.bsigroup.com/en-GB/about-bsi/media-centre/press-releases/2019/october/bsi-launches-code-of-practice-for-digital-identification-and-customer-authentication/
https://shop.bsigroup.com/ProductDetail?pid=000000000030342524
Комментариев нет:
Отправить комментарий