воскресенье, 20 октября 2019 г.

Британский институт стандартов опубликовал свод практики цифровой идентификации и строгой аутентификации клиентов


Данная новость была опубликована 8 октября 2019 года на сайте Британского института стандартов (BSI).

Новый свод практики помогает организациям обезопасить свои системы и уменьшить число случаев мошенничества, связанного с выдачей себя за иное лицо, в соответствии с действующими нормативными требованиями, включая вторую Директиву о платежных услугах (PSD2).

Мой комментарий: Европейские Директивы о платёжных услугах - первая Директива 2007/64/EC (The Payment Services Directive, PSD, см. https://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX%3A32007L0064 ), впоследствии заменённая второй Директивой 2015/2366, PSD2, см. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32015L2366 )  - регламентируют платёжные услуги и деятельность поставщиков таких услуг в Евросоюзе и Европейской экономической зоне (EEA).

Британский институт стандартов BSI, одной из задач которого является способствование совершенствованию деловой деятельности, опубликовал публично доступные спецификации (publicly available specification) PAS 499:2019 «Свод практики цифровой идентификации и строгой аутентификации клиентов» (Code of practice for digital identification and strong customer authentication) объёмом 36 страниц.

Киберпреступность и мошенничество являются наиболее быстро растущими областями криминальной активности, а уязвимости в используемых организациями методах и практике идентификации и аутентификации являются причиной большей части этого нежелательного роста. Внедрение надежных процессов крайне важно для минимизации рисков для организаций и их пользователей, для сотрудников и партнеров, имеющих отношение к онлайн-транзакциям и услугам. Евродиректива PSD2 и связанные с ней нормативно-правовые акты требуют гарантий идентификации и строгой аутентификации клиентов.
Новый PAS 499:2019 предназначен для организаций, подпадающих под нормативные требования в соответствии с директивой PSD2 и взаимосвязанными нормативными актами. В нём основное внимание уделяется принципам управления, и он написан с точки зрения регуляторов на идентификацию и строгую аутентификацию клиентов, включая следующие вопросы (по сути, приводится содержание документа, за исключением стандартных разделов – Н.Х.):
  • Проверка корректности и действительности идентификационного профиля (identity validation)

  • Проверка принадлежности идентификационного профиля заявителю (identity verification)

  • Регистрация (enrolment)

  • Аутентификация

  • Делегирование полномочий и авторизация

  • Безопасность и удобство использования

  • Модели риска для аутентификации
Документ также применим в отношении процессов управления созданием, доступом и управлением цифровыми учетными записями пользователей, осуществляющих платежи с помощью мобильных устройств или иных компьютеров; пользователей, осуществляющих бесконтактные платежи с помощью электронного устройства; к предприятиям розничной торговли, получающим такие платежи; роли третьих сторон; делегирования полномочий; а также к поставщикам банковских или платежных услуг, управляющий такими транзакциями.

Документ не распространяется на бесконтактные платежи с помощью пластиковых карт; на транзакции в контексте интернета вещей; на криптовалюты; на специфические особенности платежных устройств и платежных терминалов.

По мнению ведущего специалиста BSI по цифровым технологиям Тима МакГарра (Tim McGarr), «В период, когда киберпреступность и мошенничество набирают обороты, крайне важно, чтобы организации имели надежные процессы цифровой идентификации и аутентификации пользователей, чтобы минимизировать риски своих онлайн-транзакций. Спецификации PAS 499:2019 дают рекомендации, необходимые для оптимизации и внедрения систем, поддерживающих исполнение законодательно-нормативных требований».

PAS 499:2019 был разработан техническим комитетом и прошел обсуждение экспертами и публичное обсуждение в соответствии с обычной практикой для такого рода документов, принимаемых на основе консенсуса.

Более подробную информацию о PAS 499:2019 можно найти на странице по адресу https://shop.bsigroup.com/ProductDetail?pid=000000000030342524

Мой комментарий: Документ представляет собой свод высокоуровневых требований, не вдаваясь при этом в детали и не ограничивая организации в выборе способа выполнения этих требований. Очень многие требования упоминают документирование и документы.

Источник: сайт Британского института стандартов
https://www.bsigroup.com/en-GB/about-bsi/media-centre/press-releases/2019/october/bsi-launches-code-of-practice-for-digital-identification-and-customer-authentication/
https://shop.bsigroup.com/ProductDetail?pid=000000000030342524

Комментариев нет:

Отправка комментария