екомендациях по повышению уровня безопасности при использовании банкоматов и платежных терминалов

Кредитным организациям рекомендовано повысить уровень безопасности при использовании банкоматов и платежных терминалов

Банк России, в частности, рекомендует:

классифицировать места установки банкоматов и платежных терминалов (далее - устройства) по степени риска подвергнуться попыткам физического взлома, установки скиммингового оборудования и (или) воздействия вредоносного кода, а также совершения несанкционированных операций, и периодически пересматривать классификацию мест установки устройств по мере развития технологий, в том числе технологий атак;

осуществлять на регулярной основе, в зависимости от классификации места установки устройства, контроль внешнего вида устройства, а также действий обслуживающих данное устройство организаций;

оборудовать устройства системами видеонаблюдения (минимум двумя видеокамерами) со сроком хранения записей видеосъемки не менее 60 календарных дней;

размещать на экране устройства либо в пределах прямой видимости от него предупреждающие сообщения о необходимости соблюдения мер предосторожности при наборе персонального идентификационного номера;

устанавливать устройства в безопасных местах (например, в государственных учреждениях, своих подразделениях, крупных торговых комплексах, гостиницах, аэропортах и тому подобное);

страховать устройства и (или) наличные денежные средства, находящиеся внутри данных устройств.

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

 

ПИСЬМО

от 1 марта 2013 г. N 34-Т

 

О РЕКОМЕНДАЦИЯХ

ПО ПОВЫШЕНИЮ УРОВНЯ БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ

БАНКОМАТОВ И ПЛАТЕЖНЫХ ТЕРМИНАЛОВ

 

Банк России направляет рекомендации по повышению уровня безопасности при использовании банкоматов и платежных терминалов (далее - Рекомендации).

Территориальным учреждениям Банка России довести настоящее письмо до сведения кредитных организаций.

Настоящее письмо подлежит опубликованию в "Вестнике Банка России".

 

Заместитель председателя

Банка России

Т.Н.ЧУГУНОВА

 

 

 

 

 

Приложение

к письму Банка России

от 1 марта 2013 года N 34-Т

"О рекомендациях по повышению

уровня безопасности при использовании

банкоматов и платежных терминалов"

 

РЕКОМЕНДАЦИИ

ПО ПОВЫШЕНИЮ УРОВНЯ БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ

БАНКОМАТОВ И ПЛАТЕЖНЫХ ТЕРМИНАЛОВ

 

Настоящие рекомендации подготовлены в целях повышения уровня безопасности при использовании банкоматов <1> и платежных терминалов <2> (далее - устройства).

--------------------------------

<1> Термин "банкомат" используется в значении, определенном в пункте 1.3 Положения Банка России от 24.12.2004 N 266-П "Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт".

<2> Термин "платежный терминал" используется в значении, определенном в статье 1 Федерального закона от 22.05.2003 N 54-ФЗ "О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием платежных карт".

 

Кредитным организациям, в том числе при привлечении специализированных организаций <1>, рекомендуется:

--------------------------------

<1> В рамках данных Рекомендаций под специализированными организациями следует понимать организации, предоставляющие услуги по обеспечению безопасного использования устройств (например, услуги видеонаблюдения, вневедомственной охраны и тому подобное).

 

классифицировать места установки устройств по степени риска подвергнуться попыткам физического взлома, установки скиммингового оборудования и (или) воздействия вредоносного кода, а также совершения несанкционированных операций (далее - атаки);

пересматривать классификацию мест установки устройств по мере развития технологий, в том числе технологий атак;

оснащать устройства защитным оборудованием <1> и специальным программным обеспечением <2>, при этом их тип, комплектацию и функциональные возможности рекомендуется выбирать с учетом классификации места установки (предполагаемой установки) устройства;

--------------------------------

<1> В рамках данных Рекомендаций под защитным оборудованием следует понимать антискимминговое оборудование, охранную сигнализацию и иное оборудование, предназначенное для предотвращения атак.

<2> В рамках данных Рекомендаций под специальным программным обеспечением следует понимать программное обеспечение, предназначенное для предотвращения и выявления атак.

 

осуществлять на регулярной основе, в зависимости от классификации места установки устройства, контроль внешнего вида устройства, включая его целостности и отсутствия несанкционированного оборудования, а также действий обслуживающих данное устройство организаций <1>;

--------------------------------

<1> В рамках данных Рекомендаций под обслуживающими организациями следует понимать организации, осуществляющие операции по загрузке (изъятию) наличных денег, наличной иностранной валюты из устройств, а также организации, предоставляющие услуги ремонта и (или) профилактики, включая программное обеспечение, и тому подобное.

 

использовать системы удаленного мониторинга состояния устройства, обеспечивающие контроль надлежащего функционирования защитного оборудования и специального программного обеспечения;

оборудовать устройства системами видеонаблюдения (минимум двумя видеокамерами) со сроком хранения записей видеосъемки не менее 60 календарных дней. Требования к типу и качеству систем видеонаблюдения, хранению информации, а также местам их установки (внутри или вне устройства) должны обеспечивать получение видеоизображения надлежащего качества <1>;

--------------------------------

<1> В рамках данных Рекомендаций под видеоизображением надлежащего качества следует понимать видеоизображение, которое позволяет использовать его в качестве доказательства.

 

обеспечить обнаружение, фиксацию фактов атак и попыток их совершения и информирование о них заинтересованных участников рынка розничных платежных услуг, а также Банка России;

проводить анализ и устранять выявленные уязвимости <1> в случаях, когда используемое устройство подверглось атакам или попыткам их совершения;

--------------------------------

<1> В рамках данных Рекомендаций под уязвимостями следует понимать слабые места в устройстве, а также защитном оборудовании и специальном программном обеспечении, которые могут привести к нарушению его работы или безопасности.

 

совершенствовать применяемые решения и процедуры, направленные на обнаружение, фиксацию, идентификацию и предотвращение атак или попыток их совершения;

осуществлять сотрудничество с иными кредитными организациями, а также осуществлять на регулярной основе обмен информацией в целях развития и совершенствования безопасности устройств;

размещать на экране устройства либо в пределах прямой видимости от него предупреждающие сообщения о необходимости соблюдения мер предосторожности при наборе персонального идентификационного номера при использовании устройства <1>;

--------------------------------

<1> Пункт 7 раздела "Рекомендации при совершении операций с банковской картой в банкомате" письма Банка России от 02.10.2009 N 120-Т "О мерах безопасного использования банковских карт".

 

устанавливать устройства в безопасных местах (например, в государственных учреждениях, своих подразделениях, крупных торговых комплексах, гостиницах, аэропортах и тому подобное) <1> с учетом настоящих Рекомендаций;

--------------------------------

<1> Пункт 1 раздела "Рекомендации при совершении операций с банковской картой в банкомате" письма Банка России от 02.10.2009 N 120-Т "О мерах безопасного использования банковских карт".

 

осуществлять крепление устройства к стене или к полу в помещениях и к фундаменту вне помещений, если это допускает его конструкция;

устанавливать устройства с антивандальным исполнением корпуса и панелей;

предусматривать при установке устройства возможность его безопасного использования маломобильными группами населения, людьми с ограниченными возможностями здоровья;

страховать устройства и (или) наличные денежные средства, находящиеся внутри данных устройств;

использовать настоящие Рекомендации в случае привлечения банковских платежных агентов (субагентов), использующих устройства. Доводить до их сведения настоящие Рекомендации.