Приложение 13. "Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности использования QR-кодов при осуществлении переводов денежных средств" СТО БР БФБО-1.9-2024" (принят и введен в действие приказом Банка России от 28.12.2024 N ОД-2367)
Приложение 13. ПРОЦЕСС СНЯТИЯ/ВНЕСЕНИЯ НАЛИЧНЫХ ДЕНЕЖНЫХ СРЕДСТВ С ИСПОЛЬЗОВАНИЕМ ДИНАМИЧЕСКОГО QR-КОДА В БАНКОМАТЕ
Приложение 13 
ПРОЦЕСС
СНЯТИЯ/ВНЕСЕНИЯ НАЛИЧНЫХ ДЕНЕЖНЫХ СРЕДСТВ С ИСПОЛЬЗОВАНИЕМ
ДИНАМИЧЕСКОГО QR-КОДА В БАНКОМАТЕ
Сценарий процесса
Пользователь в банкомате выбирает опцию снятия/внесения денежных средств по QR-коду. Банкомат передает запрос в банк пользователя на формирование QR-кода в динамическом сценарии.
Пользователь проходит аутентификацию в ЭСП, после которой сканирует QR-код банкомата, выбирает в ЭСП карту, вводит сумму снятия денежных средств и передает запрос в банк пользователя. Банк пользователя проверяет возможность снятия денежных средств и при положительном результате передает в платежное приложение пользователя запрос подтверждения. Пользователь подтверждает операцию. Банк пользователя проверяет корректность подтверждения плательщиком, уменьшает сумму денежных средств, доступных пользователю для осуществления перевода, после чего происходит списание денежных средств и передача уведомления в банкомат о необходимости выдачи денежных средств пользователю.
Пользователь проходит аутентификацию в ЭСП, после чего сканирует QR-код банкомата, выбирает в ЭСП карту для внесения денежных средств и передает запрос в банк пользователя. Банк пользователя проверяет возможность внесения денежных средств и при положительном результате передает в ЭСП пользователя запрос подтверждения. Пользователь подтверждает операцию. Банк пользователя проверяет корректность подтверждения пользователем и передает уведомление в банкомат на внесение денежных средств. После внесения денежных средств пользователем банкомат передает уведомление в банк пользователя о необходимости зачисления денежных средств на счет.
Схемы процесса представлены на рис. 38 - 40. Меры защиты на технологических участках и подэтапах приведены в табл. 20.
|
МЕРЫ ЗАЩИТЫ ПРИ СНЯТИИ/ВНЕСЕНИИ ДЕНЕЖНЫХ СРЕДСТВ С ИСПОЛЬЗОВАНИЕМ ДИНАМИЧЕСКОГО QR-КОДА В БАНКОМАТЕ
|
Табл. 20
|
|
N
|
Подэтап/технологический участок
|
Меры защиты
|
|
1.
|
Формирование, передача, обработка запроса (данных) для генерации QR-кода
|
Меры защиты из раздела 9.3:
1.1.1 - 1.1.3, 1.1.5, 1.2.1, 1.2.2, 1.3.1 - 1.3.5, 2.3.1, 2.3.4, 2.5.1, 2.5.2, 3.1.5, 3.4.1, 3.4.2
|
|
2.
|
Формирование и представление QR-кода плательщиком/получателем
|
1.3.6, 2.1.1, 2.3.2, 2.3.5, 2.4.1, 2.4.3
|
|
3.
|
Сканирование и получение данных из QR-кода для дальнейшего осуществления перевода денежных средств
|
2.1.2, 2.2.3, 2.2.4, 3.2.1 - 3.2.3
|
|
4.
|
Идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций
|
1.1.4
|
|
5
|
Формирование (подготовка), передача и прием электронных сообщений
|
3.1.6
|
|
6.
|
Удостоверение права клиентов распоряжаться денежными средствами
|
1.1.6, 2.3.7, 3.1.4
|
|
7.
|
Осуществление банковской операции, учет результатов ее осуществления
|
3.1.1 - 3.1.3, 3.1.7, 3.1.8, 3.4.3
|
|
8.
|
Все шаги технологического подэтапа/технологические участки
|
2.2.2, 2.3.3, 2.4.2, 3.2.4
|
|
ФОРМИРОВАНИЕ ДИНАМИЧЕСКОГО QR-КОДА В БАНКОМАТЕ
|
Рис. 38
|
 |
|
|
СНЯТИЕ НАЛИЧНЫХ ДЕНЕЖНЫХ СРЕДСТВ В БАНКОМАТЕ
|
Рис. 39
|
 |
|
|
ВНЕСЕНИЕ НАЛИЧНЫХ ДЕНЕЖНЫХ СРЕДСТВ В БАНКОМАТЕ
|
Рис. 40
|
 |
|