Приложение 1. "Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности использования QR-кодов при осуществлении переводов денежных средств" СТО БР БФБО-1.9-2024" (принят и введен в действие приказом Банка России от 28.12.2024 N ОД-2367)
Приложение 1. СОСТАВ ДАННЫХ QR-КОДА ДЛЯ ОСУЩЕСТВЛЕНИЯ ПЕРЕВОДА ДЕНЕЖНЫХ СРЕДСТВ
Приложение 1 
СОСТАВ
ДАННЫХ QR-КОДА ДЛЯ ОСУЩЕСТВЛЕНИЯ ПЕРЕВОДА ДЕНЕЖНЫХ СРЕДСТВ
Для унификации процесса перевода денежных средств с использованием QR-кода рекомендуется соблюдать требования к символике, методам кодирования знаков данных, форматов символов, требования к размерам, правилам исправления ошибок, установленные стандартом ГОСТ Р ИСО/МЭК 18004-2015 [10].
При взаимодействии между плательщиком и получателем для осуществления переводов денежных средств выделяются два вида QR-кодов:
1. QR-код плательщика.
Поставщиком платежного QR-кода для плательщика являются:
- банк плательщика;
- поставщик платежного приложения.
При таком взаимодействии в QR-код включаются идентификационные данные плательщика, необходимые для осуществления перевода денежных средств. При этом данные для авторизационного запроса на перевод денежных средств формируются получателем в приложении после сканирования QR-кода плательщика и передаются вместе с данными плательщика в банк получателя средств, который отправляет запрос через платежную систему в банк плательщика для подтверждения возможности осуществления перевода денежных средств.
2. QR-код получателя.
Поставщиком платежного QR-кода для получателя являются:
- банк получателя;
- сторонняя организация;
- ОПКЦ СБП.
При таком взаимодействии в QR-код включаются идентификационные данные получателя (платежные реквизиты либо информация по операции), необходимые для совершения перевода денежных средств. Эти данные для осуществления перевода денежных средств после сканирования плательщиком QR-кода передаются из его ЭСП/платежного приложения в банк плательщика, который передает запрос для подтверждения возможности осуществления перевода денежных средств в банк получателя. При положительном результате проверок возможности зачисления денежных средств на счет получателя банк получателя возвращает в банк плательщика подтверждение осуществления перевода денежных средств. Банк плательщика списывает денежные средства со счета плательщика, банк получателя зачисляет денежные средства на счет получателя.
Для достижения функциональной совместимости QR-кодов всеми участниками процесса осуществления переводов денежных средств необходимо использовать унифицированный формат данных при формировании QR-кодов. QR-код с унифицированными данными, предоставляемыми плательщиком/получателем, должен приниматься всеми участниками процесса осуществления перевода денежных средств, поддерживаться техническим устройством плательщика, поддерживаться оборудованием получателя, а также банкоматами.
Для повышения конфиденциальности и уровня безопасности данных в процессах осуществления переводов денежных средств необходимо применять соответствующие меры защиты. Основным принципом повышения уровня безопасности данных в процессе перевода денежных средств с использованием QR-кода является исключение применения чувствительных данных в открытом (незащищенном) виде при их формировании, обработке, передаче и хранении. Подробнее типовые угрозы и меры защиты данных описаны в разделе 9 настоящего стандарта.
Для достижения функциональной совместимости всеми участниками процессов осуществления переводов денежных средств в состав QR-кода рекомендуется включить следующие данные (в зависимости от вида QR-кода) [11]:
1. В QR-код плательщика с реквизитами - данные, необходимые для осуществления перевода денежных средств. При этом для данных плательщика рекомендовано реализовывать меры защиты, которые описаны в разделе 9 настоящего стандарта.
2. В QR-код получателя с реквизитами - следующие данные:
- реквизиты получателя, необходимые для осуществления перевода денежных средств.
При этом для данных получателя рекомендовано реализовывать меры защиты, которые описаны в разделе 9 настоящего стандарта;
- логотип поставщика платежного QR-кода, который его сформировал для осуществления перевода денежных средств.
3. В QR-код со ссылкой плательщика/получателя - унифицированный указатель ресурса в виде URL-адреса.
Структура QR-кода для процесса перевода денежных средств в режиме представления плательщиком/получателем формируется в виде URL-адреса:
|
HTTPS://<ID Поставщика платежного QR-кода>/<ID QR-кода>/<Тип QR-кода>/<Сумма>/<Валюта>/<Контрольная сумма>
|
В табл. 1 представлены параметры, которые рекомендуется включать в состав URL-адреса при осуществлении переводов денежных средств с использованием QR-кодов.
|
ПАРАМЕТРЫ URL-АДРЕСА
|
Табл. 1
|
|
N
|
Параметр
|
Описание
|
Тип данных
|
|
1.
|
ID поставщика платежного QR-кода
|
Включает сокращенное название поставщика платежного QR-кода, которое будет однозначно его идентифицировать
|
Строка
|
|
2.
|
ID QR-кода
|
Включает уникальный идентификатор QR-кода, который будет однозначно указывать на его принадлежность плательщику/получателю
|
Строка
|
|
3.
|
Тип QR-кода
|
Включает сценарий выполнения QR-кода.
Может принимать значения:
01 - статический сценарий;
02 - динамический сценарий
|
Строка
|
|
4.
|
Сумма
|
Указывается сумма денежных средств в копейках
|
Строка
|
|
5.
|
Валюта
|
Указывается валюта операции, которая принимает значение "RUB"
|
Строка
|
|
6.
|
Контрольная сумма
|
Указывается контрольная сумма URL-адреса
|
Строка
|
В QR-код, предоставляемый получателем, рекомендовано включать логотип поставщика платежного QR-кода, который его сформировал для осуществления перевода денежных средств.