9. "Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности использования QR-кодов при осуществлении переводов денежных средств" СТО БР БФБО-1.9-2024" (принят и введен в действие приказом Банка России от 28.12.2024 N ОД-2367)
9. БЕЗОПАСНОСТЬ ИСПОЛЬЗОВАНИЯ QR-КОДОВ ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ
9. БЕЗОПАСНОСТЬ ИСПОЛЬЗОВАНИЯ QR-КОДОВ ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ 
9.1. Общие положения
В соответствии с процессами, определенными на технологическом подэтапе "Формирование (подготовка), передача и прием QR-кода", в 9.2 обозначены типовые угрозы, реализуемые на данном подэтапе, для каждого типа QR-кода в статическом и динамическом сценариях.
В 9.3 обозначены меры защиты, актуальные для каждой угрозы, реализуемой на технологическом подэтапе "Формирование (подготовка), передача и прием QR-кода".
9.2. Типовые угрозы при осуществлении переводов денежных средств с использованием QR-кодов
Угрозы безопасности информации при осуществлении переводов денежных средств с использованием QR-кодов - это различные действия, которые могут привести к нарушению процессов осуществления переводов денежных средств, используя уязвимости, которыми обладают процессы и технические средства работы с QR-кодами. Реализация угрозы безопасности информации заключается в нарушении конфиденциальности, целостности и доступности информации, необходимой для совершения переводов денежных средств с использованием QR-кодов. При этом злоумышленник может предпринимать действия по модификации, уничтожению, блокированию информации, используемой в процессах переводов денежных средств.
Технологический подэтап "Формирование (подготовка), передача и прием QR-кода" разделен на три шага, на которых реализуются типовые угрозы для QR-кодов с данными и QR-кодов со ссылкой в статическом и динамическом сценариях. В табл. 1 представлены шаги на технологическом подэтапе, угрозы для каждого шага и их подробное описание, способы представления QR-кодов, объекты воздействия угроз, а также QR-коды, для которых актуальны такие угрозы.
Номер пункта таблицы соответствует шагу на технологическом подэтапе и угрозе и разделяется точкой. Следовательно, первая цифра пункта таблицы соответствует шагу на технологическом подэтапе, вторая - угрозе для этого шага на технологическом подэтапе. Например, номер 1.1, где согласно табл. 1 первая цифра - шаг "Формирование, передача и прием запроса (данных) для генерации QR-кода", а вторая - номер угрозы ("Угроза модификации запроса на формирование QR-кода").
|
ТИПОВЫЕ УГРОЗЫ БЕЗОПАСНОСТИ В ПРОЦЕССАХ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ С ИСПОЛЬЗОВАНИЕМ QR-КОДОВ
|
Табл. 1
|
|
N п/п
|
Шаг на технологическом подэтапе (индекс)
|
Наименование угрозы
|
Описание угрозы
|
Представление QR-кода
|
Объект воздействия
|
Тип QR-кода
|
|||
|
QR-код с данными
|
QR-код со ссылкой
|
||||||||
|
Сценарии использования QR-кода
|
Статический
|
Динамический
|
Статический
|
Динамический
|
|||||
|
1.1
|
Формирование, передача и прием запроса (данных) для генерации QR-кода (ФППЗ)
|
Угроза модификации запроса на формирование QR-кода
|
Угроза заключается в возможности подмены реквизитов запроса на формирование QR-кода. Угроза возможна, если злоумышленник имеет доступ к одному из следующих процессов - формированию (подготовке), передаче, приему запроса
|
Получатель
|
Запрос на формирование QR-кода
|
+
|
+
|
+
|
+
|
|
Плательщик
|
+
|
+
|
+
|
+
|
|||||
|
1.2
|
Угроза передачи неконтролируемых запросов на формирование QR-кода
|
Угроза обусловлена наличием несанкционированного доступа к АРМ ТСП, а также может быть вызвана ошибками прикладного ПО
|
Получатель
|
Сервис формирования данных для QR-кода
|
+
|
+
|
+
|
+
|
|
|
Плательщик
|
+
|
+
|
+
|
+
|
|||||
|
1.3
|
Угроза модификации данных, содержащихся в запросе на формирование QR-кода
|
Угроза заключается в возможности злоумышленника модифицировать данные, используемые в запросе на формирование QR-кода. Угроза возможна, если злоумышленник имеет доступ к сервису формирования данных для QR-кода
|
Получатель
|
Сервис формирования данных для QR-кода;
платежные реквизиты
|
+
|
+
|
+
|
+
|
|
|
Плательщик
|
+
|
+
|
+
|
+
|
|||||
|
2.1
|
Формирование и представление QR-кода плательщиком/получателем (ФиП)
|
Угроза модификации QR-кода при его формировании
|
Угроза заключается в возможности модификации QR-кода в процессе его преобразования в графический вид. Угроза возможна, если злоумышленник имеет доступ к сервису преобразования QR-кода в графический вид
|
Получатель
|
Алгоритм преобразования QR-кода в графический вид
|
+
|
+
|
+
|
+
|
|
Плательщик
|
+
|
+
|
+
|
+
|
|||||
|
2.2
|
Угроза подмены QR-кода
|
Угроза заключается в подмене всего изображения QR-кода или подмене отдельных значений QR-кода злоумышленником
|
Получатель
|
QR-код
|
+
|
+
|
+
|
+
|
|
|
Плательщик
|
+
|
+
|
+
|
+
|
|||||
|
2.3
|
Угроза кражи QR-кода плательщика
|
Угроза обусловлена возможностью злоумышленника похитить QR-код, сформированный плательщиком для получателя с целью совершения перевода денежных средств
|
Плательщик
|
QR-код
|
+
|
+
|
+
|
+
|
|
|
2.4
|
Угроза неконтролируемой передачи запросов на активацию QR-кода или ссылки
|
Угроза обусловлена наличием несанкционированного доступа к АРМ ТСП, а также может быть вызвана ошибками прикладного ПО или ошибочными действиями персонала
|
Получатель
|
Ресурс, на который ведет QR-код или платежная ссылка
|
-
|
-
|
+
|
+
|
|
|
Плательщик
|
-
|
-
|
+
|
+
|
|||||
|
2.5
|
Угроза включения в QR-код избыточных данных
|
Угроза заключается в добавлении избыточных конфиденциальных данных в QR-код в открытом виде
|
Получатель
|
QR-код
|
+
|
+
|
+
|
+
|
|
|
Плательщик
|
+
|
+
|
+
|
+
|
|||||
|
3.1
|
Сканирование и получение данных из QR-кода для дальнейшего осуществления перевода денежных средств (СиП)
|
Угроза повторного проведения перевода денежных средств
|
Угроза возможна, в случае если операция повторно проводится по одному и тому же QR-коду
|
Получатель
|
QR-код
|
+
|
+
|
+
|
+
|
|
Плательщик
|
+
|
+
|
+
|
+
|
|||||
|
3.2
|
Угроза внедрения вредоносного кода (вызова удаленных процедур) с использованием QR-кода на устройстве плательщика
|
Угроза обусловлена отсутствием мер по контролю целостности данных (QR-кода), а также отсутствием мер по запрету на выполнение вызова удаленных процедур ЭСП/платежным приложением
|
Получатель
|
QR-код
|
+
|
+
|
+
|
+
|
|
|
Плательщик
|
+
|
+
|
+
|
+
|
|||||
|
3.3
|
Угроза фишинга
|
Угроза заключается в перенаправлении плательщика/получателя на сторонний сервис для выполнения операций, вследствие сканирования модифицированного злоумышленником QR-кода
|
Получатель
|
QR-код
|
+
|
+
|
+
|
+
|
|
|
Плательщик
|
+
|
+
|
+
|
+
|
|||||
|
3.4
|
Угроза утечки конфиденциальных данных, содержащихся в QR-коде плательщика
|
Угроза обусловлена возможностью злоумышленника получить платежные данные, хранящиеся в QR-коде в открытом виде. Угроза актуальна для QR-кода с данными, сформированного плательщиком
|
Плательщик
|
QR-код
|
+
|
+
|
-
|
-
|
|
9.3. Типовые меры защиты информации при осуществлении переводов денежных средств с использованием QR-кодов
Применение QR-кодов является удобным способом для осуществления переводов денежных средств, который активно внедряется организациями. В связи с этим организации должны обеспечивать соответствующий уровень защиты информации при использовании QR-кодов в процессах переводов денежных средств для предотвращения мошенничества. В целях повышения безопасности процессов, в которых применяются QR-коды, необходимо применять определенные меры защиты информации, которые нейтрализуют типовые угрозы.
Меры, направленные на минимизацию угроз информационной безопасности, реализованные на подэтапе "Формирование (подготовка), передача и прием QR-кода", при использовании QR-кодов для осуществления переводов денежных средств отражены в табл. 2 [8], [9].
Номер меры защиты информации соответствует технологическому подэтапу, угрозе и мере защиты информации, которые разделяются точкой. Следовательно, первая цифра соответствует шагу на технологическом подэтапе/технологическому участку, вторая цифра - угрозе, которая может быть реализована, третья - мере защиты информации. Например, номер 1.1.1, где первая цифра является шагом "Формирование, передача и прием запроса (данных) для генерации QR-кода", вторая - номером угрозы ("Угроза модификации запроса на формирование QR-кода"), третья - номером меры защиты ("Контроль правильности заполнения полей запроса на формирование QR-кода").
|
ТИПОВЫЕ МЕРЫ БЕЗОПАСНОСТИ В ПРОЦЕССАХ С ИСПОЛЬЗОВАНИЕМ QR-КОДОВ
|
Табл. 2
|
|
Шаг на технологическом подэтапе/технологический участок
|
N угрозы
|
N меры защиты
|
Наименование меры защиты
|
Описание меры защиты, возможная реализация
|
Сценарий QR-кода
|
||
|
Статический
|
Динамический
|
||||||
|
Формирование, передача, обработка запроса (данных) для генерации QR-кода
|
1.1
|
1.1.1
|
Контроль правильности заполнения полей запроса на формирование QR-кода
|
Проведение контроля заполнения всех полей запроса, направляемого получателем/плательщиком поставщику платежного QR-кода в соответствии с требованиями настоящего стандарта
|
+
|
+
|
|
|
1.1
|
1.1.2
|
Контроль целостности запроса на получение QR-кода (например, с использованием MAC)
|
Обеспечение целостности сообщений, содержащих запросы на генерацию QR-кода, с использованием криптографических алгоритмов, определенных национальными стандартами Российской Федерации
|
+
|
+
|
||
|
1.1
|
1.1.3
|
Использование защищенного канала связи для передачи запроса на генерацию QR-кода
|
-
|
Обеспечение защиты канала связи в соответствии с ГОСТ Р 34.12-2015 с использованием протокола TLS (с двухсторонней аутентификацией - при наличии технической возможности);
|
+
|
+
|
|
|
или
|
|||||||
|
-
|
обеспечение защиты канала связи на канальном или сетевом уровне с использованием средств криптографической защиты информации, прошедших оценку соответствия требованиям федерального органа исполнительной власти в области обеспечения безопасности
|
||||||
|
1.1
|
1.1.5
|
Проверка полномочий на выполнение запроса формирования QR-кода
|
Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных, с которых производится формирование и передача запроса на генерацию QR-кода в соответствии со стандартом Банка России СТО БР БФБО-1.7-2023
|
+
|
+
|
||
|
1.2
|
1.2.1
|
Контроль на предмет отсутствия дублирования запросов (как исходящих, так и входящих) на формирование QR-кода
|
Осуществление контроля на предмет отсутствия дублирования запросов на формирование QR-кода перед отправлением и при приеме. Контроль происходит путем сверки уникального идентификатора запроса и идентификатора операции с уже имеющейся базой запросов на формирование QR-кодов или платежных ссылок
|
+
|
+
|
||
|
1.2
|
1.2.2
|
Определение лимита запросов на формирование QR-кода
|
Определение лимитов запросов на формирование QR-кода с учетом потребностей получателя/плательщика и на основе анализа рисков поставщика платежного QR-кода
|
+
|
+
|
||
|
Формирование, передача, обработка запроса (данных) для генерации QR-кода
|
1.3
|
1.3.1
|
Контроль значений реквизитов, помещаемых в QR-код или платежную ссылку, на соответствие значениям реквизитов платежа, полученным в запросе на генерацию QR-кода
|
Сравнение всех значений реквизитов, помещаемых в QR-код или платежную ссылку, со значениями, полученными в запросе на формирование QR-кода
|
+
|
+
|
|
|
1.3
|
1.3.2
|
Обеспечение целостности данных запроса на формирование QR-кода (например, с использованием MAC)/применение механизмов и (или) протоколов передачи данных для формирования QR-кода, обеспечивающих защиту этих данных от искажения, фальсификации, переадресации
|
Обеспечение целостности данных, используемых для формирования и представления QR-кода, с использованием криптографических алгоритмов, определенных национальными стандартами Российской Федерации
|
+
|
+
|
||
|
1.3
|
1.3.3
|
Использование защищенного канала связи при передаче запроса с данными, используемыми для формирования QR-кода
|
-
|
Обеспечение защиты канала связи в соответствии с ГОСТ Р 34.12-2015 с использованием протокола TLS (с двухсторонней аутентификацией - при наличии технической возможности);
|
+
|
+
|
|
|
или
|
|||||||
|
-
|
обеспечение защиты канала связи на канальном или сетевом уровне с использованием средств криптографической защиты информации, прошедших оценку соответствия требованиям федерального органа исполнительной власти в области обеспечения безопасности
|
||||||
|
1.3
|
1.3.4
|
Идентификация и аутентификация устройства, с которого передается запрос для формирования QR-кода
|
Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных, с которых производится отправка данных для формирования QR-кода в соответствии со стандартом Банка России СТО БР БФБО-1.7-2023, а также национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017
|
+
|
+
|
||
|
1.3
|
1.3.5
|
Обработка запросов на формирование QR-кода в системе, обрабатывающей запросы, соответствующей требованиям безопасности
|
Обеспечение соответствия системы поставщика платежного QR-кода, обрабатывающей запрос с данными для формирования QR-кода, требованиям национального стандарта Российской Федерации ГОСТ Р 57580.1-2017
|
+
|
+
|
||
|
Формирование, передача, обработка запроса (данных) для генерации QR-кода
|
2.3
|
2.3.1
|
Формирование метки времени в зашифрованном виде, содержащейся в QR-коде, и ограничение времени жизни для данного QR-кода
|
-
|
Добавление в QR-код метки времени по факту его формирования (или формирования данных для его генерации) с использованием односторонней хеш-функции, полученной в соответствии с ГОСТ Р 34.11-2012, или ключевой хеш-функции, основанной на использовании отечественных криптографических алгоритмов шифрования;
|
+
|
+
|
|
-
|
ограничение времени жизни динамического QR-кода, которое не превышает две минуты
|
||||||
|
2.5
|
2.5.1
|
Ограничение на использование конфиденциальных данных в открытом виде в составе данных QR-кода
|
Контроль отсутствия конфиденциальной информации в составе данных QR-кода
|
+
|
+
|
||
|
2.5
|
2.5.2
|
Разработка и утверждение внутреннего регламентирующего документа, где будет отражен состав данных, разрешенных для включения в QR-код
|
Утверждение внутреннего регламентирующего документа, в котором будет описан состав данных, разрешенный для включения в QR-код
|
+
|
+
|
||
|
3.1
|
3.1.5
|
Установление лимита операций для статического QR-кода плательщика
|
Определение банком плательщика лимитов операций для статического QR-кода, необходимых для осуществления плательщиком переводов денежных средств, в соответствии с определенными в организации уровнями рисков
|
+
|
-
|
||
|
3.4
|
3.4.1
|
Обезличивание данных плательщика/получателя
|
-
|
Применение технологии токенизации данных в QR-кодах;
|
+
|
+
|
|
|
-
|
минимизация использования конфиденциальных данных и данных, утечка которых может привести к осуществлению операций без добровольного согласия клиента, в динамических QR-кодах;
|
||||||
|
-
|
применение коротких ссылок, ведущих на защищенный ресурс, где находятся данные
|
||||||
|
3.4
|
3.4.2
|
Защита от несанкционированного просмотра данных, получаемых при сканировании QR-кода
|
Использование алгоритмов шифрования данных, содержащихся в QR-коде для сокрытия реквизитов
|
+
|
+
|
||
|
3.4
|
3.4.4
|
Ограничения по лимиту операций и сроку жизни QR-кода (актуально для QR-кода в статическом сценарии со ссылкой)
|
-
|
Ограничение срока жизни QR-кода
|
+
|
-
|
|
|
-
|
Установление лимита по сумме
|
||||||
|
Формирование и представление QR-кода плательщиком/получателем
|
1.3
|
1.3.6
|
Контроль соответствия сформированной строки для QR-кода запросу на формирование
|
Обеспечение сверки ЭСП/платежным приложением плательщика и получателя полученной от поставщика платежного QR-кода строки с данными для преобразования в QR-код на соответствие отправленному запросу на формирование QR-кода
|
+
|
+
|
|
|
2.1
|
2.1.1
|
Применение механизмов, обеспечивающих защиту алгоритмов преобразования QR-кода в графический вид для прикладного ПО (применение средств контроля целостности, обеспечение обновлений ПО из доверенного источника)
|
-
|
Обеспечение контроля целостности ПО для преобразования QR-кода в графический вид (генератора QR-кода и среды его функционирования) средствами контроля целостности, имеющих сертификат соответствия ФСТЭК России;
|
+
|
+
|
|
|
-
|
проведение тестирования обновлений (интеграционное, функциональное) перед обновлением ПО, формирующего QR-код;
|
||||||
|
-
|
изоляция процесса (преобразования QR-кода в графический вид) в выделенной области памяти
|
||||||
|
2.3
|
2.3.2
|
Аутентификация плательщика до отображения/преобразования строки в QR-код (графический вид)
|
Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных, на которых отображается QR-код в соответствии со стандартом Банка России СТО БР БФБО-1.7-2023
|
+
|
+
|
||
|
2.3
|
2.3.5
|
Установление по умолчанию запрета на скриншот экрана, где размещено изображение QR-кода плательщика, и на отображение экрана сторонним приложениям
|
Установка запрета на снимок экрана, где размещено изображение QR-кода
|
+
|
+
|
||
|
2.4
|
2.4.1
|
Контроль на предмет отсутствия дублирования запросов на активацию ресурса, на который ведет QR-код или платежная ссылка
|
Осуществление контроля на предмет отсутствия дублирования запросов на активацию ресурса, на который ведет QR-код/платежная ссылка перед отправлением получателем и при приеме таких запросов поставщиком платежного QR-кода
|
+
|
-
|
||
|
2.4
|
2.4.3
|
Ограничение возможности передачи запросов на активацию ресурса, на который ведет QR-код или платежная ссылка
|
Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных, с которых передается запрос на активацию ресурса, на который ведет QR-код, в соответствии с рекомендациями стандарта Банка России СТО БР БФБО-1.7-2023
|
+
|
-
|
||
|
Сканирование и получение данных из QR-кода для дальнейшего осуществления перевода денежных средств
|
2.1
|
2.1.2
|
Отображение реквизитов, содержащихся в QR-коде, плательщику для принятия решения по его использованию
|
Отображение плательщику реквизитов операции, полученных из QR-кода или платежной ссылки, предоставленных получателем платежа. Запрос подтверждения плательщика правильности заполненных реквизитов платежа
|
+
|
+
|
|
|
2.2
|
2.2.1
|
Применение защитных механизмов при распечатывании статических QR-кодов, позволяющих пользователю заметить его подмену
|
-
|
Использование визуальных эффектов (логотипов) для формирования отличительных признаков от обычных QR-кодов. Мера направлена на повышение сложности подделки QR-кода с визуальным эффектом;
|
+
|
-
|
|
|
-
|
использование голографических изображений на распечатанных QR-кодах
|
||||||
|
2.2
|
2.2.3
|
Отображение реквизитов операции, содержащихся в QR-коде, плательщику для принятия решения по его использованию
|
Отображение реквизитов операции плательщику (например, ссылка на ресурс) и запрос на подтверждение действий
|
+
|
+
|
||
|
2.2
|
2.2.4
|
Проверка данных из QR-кода, необходимых для формирования электронного сообщения
|
Проведение проверки целостности данных поставщиком платежного QR-кода, содержащихся в отсканированном QR-коде с использованием хеш-функции, сформированной по ГОСТ Р 34.11-2012, или ключевой хеш-функции, основанной на использовании отечественных криптографических алгоритмов шифрования
|
+
|
+
|
||
|
3.2
3.3
|
3.2.1
|
Отображение реквизитов операции, содержащихся в QR-коде, плательщику для принятия решения по осуществлению операции
|
Отображение плательщику реквизитов операции, полученных из QR-кода или платежной ссылки. Запрос подтверждения плательщика о правильности заполненных реквизитов
|
+
|
+
|
||
|
3.2
3.3
|
3.2.2
|
Использование средства защиты от вредоносного кода
|
-
|
Встраивание в ЭСП/платежные приложения, обрабатывающие QR-код, модулей антивирусного ПО для проверки QR-кода на наличие вредоносного кода;
|
+
|
+
|
|
|
-
|
непрерывное обновление сигнатур баз данных приложений для сканирования QR-кодов;
|
||||||
|
-
|
подготовка рекомендаций и информирование плательщиков по использованию антивирусного ПО;
|
||||||
|
-
|
внедрение процедур проверки содержимого QR-кода, в том числе проверка URL-адреса короткой ссылки по спискам вредоносных ссылок
|
||||||
|
3.2
3.3
|
3.2.3
|
Внедрение процедур проверки QR-кода в ПО
|
Внедрение процедуры проверки подлинности QR-кода
|
+
|
+
|
||
|
Идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций
|
1.1
|
1.1.4
|
Проверка полномочий на выполнение запроса формирования QR-кода
|
-
|
Идентификация и аутентификация плательщика/получателя при входе в ЭСП/при входе в мобильное устройство для доступа к платежному приложению;
|
+
|
+
|
|
-
|
запрет действий плательщика/получателя до идентификации и аутентификации в ЭСП/платежном приложении;
|
||||||
|
-
|
запрет действий плательщика/получателя до идентификации и аутентификации в ЭСП/на мобильном устройстве для доступа к платежному приложению
|
||||||
|
2.3
|
2.3.2
|
Аутентификация плательщика до отображения/преобразования строки в QR-код (графический вид)
|
-
|
Идентификация и аутентификация плательщика в ЭСП/платежном приложении, отображающем QR-код;
|
+
|
+
|
|
|
-
|
запрет действий плательщика по использованию QR-кода до проведения идентификации и аутентификации в ЭСП/платежном приложении
|
||||||
|
2.4
|
2.4.3
|
Ограничение возможности передачи запросов на активацию ресурса, на который ведет QR-код или платежная ссылка
|
-
|
Идентификация и аутентификация пользователей, являющихся работниками получателя, при входе в приложение;
|
+
|
-
|
|
|
-
|
запрет действий получателя до идентификации и аутентификации в приложении
|
||||||
|
Формирование (подготовка), передача и прием электронных сообщений
|
3.1
|
3.1.6
|
Контроль дублирования данных и операции перевода денежных средств
|
Присвоение банком плательщика уникального идентификатора для каждой операции осуществления перевода денежных средств, проводимой с использованием QR-кода
|
+
|
+
|
|
|
Удостоверение права клиентов распоряжаться денежными средствами
|
1.1
|
1.1.6
|
Использование геометок для динамических QR-кодов
|
Поставщик платежного QR-кода проверяет местонахождение получателя/плательщика (при наличии/возможности сбора информации о географическом местоположении) во время обработки платежа.
Геометка, полученная в запросе на создание QR-кода, должна совпадать с геометкой, направляемой в ЭС
|
-
|
+
|
|
|
2.3
|
2.3.4
|
Установление лимита операций для QR-кода плательщика
|
Лимиты платежей и лимиты суммы платежей для QR-кода определяются внутренними регламентирующими документами поставщика платежного QR-кода на основании анализа рисков
|
+
|
+
|
||
|
2.3
|
2.3.7
|
Подтверждение операции по QR-коду плательщиком
|
Подтверждение операции плательщиком в ЭСП/платежном приложении с использованием дополнительных факторов аутентификации в соответствии со СТО БР БФБО-1.8-2024
|
+
|
+
|
||
|
3.1
|
3.1.4
|
Осуществление антифрод-мероприятий
|
Антифрод-мероприятия проводятся в соответствии с уровнями риска, определенными банком плательщика, банком получателя для переводов денежных средств
|
+
|
+
|
||
|
Удостоверение права клиентов распоряжаться денежными средствами
|
3.1
|
3.1.5
|
Установление лимита операций для статического QR-кода плательщика
|
Определение банком плательщика лимитов для операций со статическим QR-кодом, необходимых для осуществления плательщиком переводов денежных средств, в соответствии с определенными в организации уровнями рисков
|
+
|
-
|
|
|
Осуществление банковской операции, учет результатов ее осуществления
|
3.1
|
3.1.1
|
Деактивация ресурса, на который ведет короткая ссылка из QR-кода, после завершения платежа (актуально для QR-кода в статическом сценарии со ссылкой)
|
Ресурс, на который ведет короткая ссылка из QR-кода, может быть использован только один раз (то есть деактивироваться сразу после совершения перевода денежных средств)
|
+
|
-
|
|
|
3.1
|
3.1.2
|
Применение уникального идентификатора для каждой операции
|
Присваивание каждой операции, совершаемой с использованием QR-кода, уникального идентификатора в течение операционного дня
|
+
|
+
|
||
|
3.1
|
3.1.3
|
Уничтожение динамического QR-кода после осуществления операции
|
Обеспечение уничтожения QR-кода плательщика/получателя в динамическом сценарии сразу после осуществления перевода денежных средств.
Время жизни динамического QR-кода не должно превышать две минуты
|
-
|
+
|
||
|
3.1
|
3.1.7
|
Контроль дублирования данных и операции перевода денежных средств
|
Обеспечение проверки банком плательщика на предмет дублирования данных операции по переводу денежных средств, которая происходит на основании данных из QR-кода
|
+
|
+
|
||
|
3.1
|
3.1.8
|
Уведомление о совершенной операции по QR-коду
|
Обеспечение передачи уведомления плательщику о списании денежных средств по операции с использованием QR-кода.
Обеспечение передачи уведомления получателю о зачислении денежных средств по операции с использованием QR-кода
|
+
|
+
|
||
|
3.4
|
3.4.3
|
Деактивация ресурса, на который ведет ссылка из QR-кода после осуществления операции (актуально для QR-кода в динамическом сценарии со ссылкой)
|
Использование процесса деактивации ресурса, на который ведет ссылка из QR-кода, после осуществления перевода денежных средств
|
-
|
+
|
||
|
Все шаги технологического подэтапа/технологические участки
|
2.2
|
2.2.2
|
Разработка рекомендаций для пользователей по использованию QR-кодов
|
-
|
Добавление в рекомендации правил использования, возможные риски использования QR-кодов, сканеров QR-кодов и меры по снижению рисков;
|
+
|
+
|
|
-
|
доведение рекомендаций по обеспечению безопасности QR-кодов понятным и доступным для пользователей образом (например, рекомендации могут быть в платежных приложениях в виде новостей)
|
||||||
|
2.3
|
2.3.3
|
Учет рисков при осуществлении переводов денежных средств с использованием офлайн - QR-Koga
|
Обеспечение учета рисков при осуществлении переводов денежных средств с использованием офлайн-QR-кода. Определение лимитов офлайн-операций в целом и лимитов суммы офлайн-операций с использованием QR-кода.
Лимиты операций определяются внутренними регламентирующими документами поставщика платежного QR-кода
|
+
|
-
|
||
|
2.3
|
2.3.6
|
Информирование владельца QR-кода через ЭСП/платежное приложение о необходимости обязательной блокировки операций по украденным QR-кодам
|
Информирование владельца QR-кода через ЭСП/платежное приложение о необходимости обязательной блокировки операций по украденным QR-кодам. Внесение в договор с клиентом информации о необходимости информирования банка плательщика о краже QR-кода
|
+
|
+
|
||
|
2.4
|
2.4.2
|
Разработка рекомендаций и (или) требований для ТСП по обеспечению информационной безопасности для оборудования, обеспечивающего операции с использованием QR-кода
|
Разработка рекомендаций по информационной безопасности для ТСП при осуществлении операций с использованием QR-кодов, формируемых поставщиком платежного QR-кода.
Социальная реклама и обучение работников ТСП, которые взаимодействуют с поставщиком платежного QR-кода
|
+
|
+
|
||
|
3.2
3.3
|
3.2.4
|
Повышение уровня осведомленности плательщиков/получателей при использовании платежных QR-кодов
|
Подготовка обучающих материалов по безопасному использованию QR-кодов, различных сканеров QR-кодов для их распознавания, распространение среди плательщиков/получателей, использующих платежные QR-коды (например, публикация информации в платежных приложениях, ЭСП, СМИ, по телевидению)
|
+
|
+
|
||