пятница, 4 декабря 2020 г.

Банк России дал банкам рекомендации по верификации электронной почты клиентов

12 февраля 2020 года Банк России разослал банкам и некредитным финансовым организациям информационное письмо №ИН-014-56/6, содержащее рекомендации по способам проверки принадлежности клиенту адреса электронной почты.

По мнению Банка России, «подобные проверки позволят противодействовать схемам, в которых мошенники используют перехваченные или некорректные адреса электронной почты реальных клиентов, например, для подделки платежных поручений или кражи важной информации. Также это предотвратит случайное получение посторонними людьми конфиденциальной информации клиентов банков. Исполнение данных рекомендаций позволит кредитным организациям повысить безопасность персональных данных клиентов и сохранность их денежных средств».

Механизм подтверждения адреса электронной почты рекомендуется реализовывать следующим образом:

  • При сообщении клиентом адреса электронной почты способом, позволяющим идентифицировать получателя сообщения, информационная система организации проводит поиск сообщенного адреса среди адресов электронной почты других клиентов, и в случае выявления совпадения адресов фиксирует информацию о том, что сообщенный клиентом адрес не подтвержден;

    Мой комментарий: Это означает, что, например, члены одной семьи не смогут пользоваться одним и тем же «семейным» адресом электронной почты. Это правильно с точки зрения безопасности, но «по жизни» может быть неудобно.
  • В случае неподтверждения адреса электронной почты организация уведомляет об этом клиента;

  • В случае несовпадения сообщенного адреса с адресами электронной почты других клиентов информационная система формирует уникальную ссылку для подтверждения принадлежности клиенту адреса совместно с графическим кодом подтверждения и направляет ее по адресу электронной почты, а также формирует код короткого текстового сообщения (код СМС) и направляет его на подтвержденный номер телефона клиента;

  • В случае перехода клиента по ссылке верификации адреса электронной почты на сайт кредитной организации (некредитной финансовой организации) и ввода на сайте кода СМС, а также корректного графического кода подтверждения принадлежность адреса электронной почты клиенту считается подтвержденной.

При реализации механизма подтверждения адреса электронной почты кредитным организациям (некредитным финансовым организациям) рекомендуется:

  • Использовать ссылки верификации адреса электронной почты, имеющие:

    • Уникальную последовательность символов для защиты от перебора и угадывания,

    • Срок действия, определенный во внутренних документах кредитной организации (некредитной финансовой организации), разработанными в рамках системы управления рисками (срок действия),

    • Соответствие только подтверждаемому адресу электронной почты клиента в течение всего срока действия;

  • Использовать коды СМС, имеющие случайную последовательность цифр для защиты от перебора и угадывания, срок действия, а также обеспечивать ограниченное количество попыток ввода кода СМС;

  • Использовать формы ввода данных, обеспечивающие ограничение доступа автоматизированных (роботизированных) систем к вводу кода СМС и графического кода подтверждения;

  • Обеспечивать удаление не подтвержденных адресов электронной почты клиента из информационной системы организации по истечении срока действия ссылки верификации или в случае превышения количества попыток ввода кода СМС.

Мой комментарий: В настоящее время электронная почта широко используется для электронного взаимодействия, и было бы правильно задуматься о правовом регулировании её использования в деловой деятельности и государственном управлении.

Источник: Консультант Плюс / сайт Банка России
https://cbr.ru/StaticHtml/File/59420/20200212_in-014-56_6.pdf
https://cbr.ru/Press/event/?id=6383
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=345479

Комментариев нет:

Отправка комментария