Приложение 21. "Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности использования QR-кодов при осуществлении переводов денежных средств" СТО БР БФБО-1.9-2024" (принят и введен в действие приказом Банка России от 28.12.2024 N ОД-2367)
Приложение 21. ПРОЦЕСС ОПЛАТЫ ПО B2B СБП С ПРЕДСТАВЛЕНИЕМ ДИНАМИЧЕСКОГО QR-КОДА НА МОНИТОРЕ ТСП
Приложение 21 
ПРОЦЕСС
ОПЛАТЫ ПО B2B СБП С ПРЕДСТАВЛЕНИЕМ ДИНАМИЧЕСКОГО QR-КОДА
НА МОНИТОРЕ ТСП
Сценарий процесса
ТСП формирует и передает запрос на QR-код в динамическом сценарии агенту ТСП. Агент ТСП передает запрос на формирование QR-кода в ОПКЦ СБП. ОПКЦ СБП формирует QR-код и передает его ТСП через агента ТСП. QR-код в динамическом сценарии представлен на мониторе ТСП.
Плательщик (ЮЛ) проходит аутентификацию в ЭСП, сканирует QR-код, выбирает счет, с которого будут списаны денежные средства, проверяет реквизиты и передает запрос на перевод денежных средств в банк плательщика. Далее - типовой процесс B2B СБП, регламентированный в стандартах ОПКЦ СБП.
Схемы процесса представлены на рис. 55, 56. Меры защиты на технологических участках и подэтапах приведены в табл. 28.
|
МЕРЫ ЗАЩИТЫ ПРИ ОПЛАТЕ ПО B2B СБП С ПРЕДСТАВЛЕНИЕМ ДИНАМИЧЕСКОГО QR-КОДА НА МОНИТОРЕ ТСП
|
Табл. 28
|
|
N
|
Подэтап/технологический участок
|
Меры защиты
|
|
1.
|
Формирование, передача, обработка запроса (данных) для генерации QR-кода
|
Меры защиты из раздела 9.3:
1.1.1 - 1.1.3, 1.1.5, 1.2.1, 1.2.2, 1.3.1 - 1.3.5, 2.3.1, 2.5.1, 2.5.2, 3.4.1, 3.4.2
|
|
2.
|
Формирование и представление QR-кода плательщиком/получателем
|
1.3.6, 2.1.1, 2.3.2, 2.4.1, 2.4.3
|
|
3.
|
Сканирование и получение данных из QR-кода для дальнейшего осуществления перевода денежных средств
|
2.1.2, 2.2.3, 2.2.4, 3.2.1 - 3.2.3
|
|
4.
|
Идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций
|
1.1.4, 2.4.3
|
|
5.
|
Формирование (подготовка), передача и прием электронных сообщений
|
3.1.6
|
|
6.
|
Удостоверение права клиентов распоряжаться денежными средствами
|
2.3.4, 2.3.7, 3.1.4
|
|
7.
|
Осуществление банковской операции, учет результатов ее осуществления
|
3.1.1 - 3.1.3, 3.1.7, 3.1.8, 3.4.3
|
|
8.
|
Все шаги технологического подэтапа/технологические участки
|
2.2.2, 2.3.6, 2.4.2, 3.2.4
|
|
ФОРМИРОВАНИЕ ДИНАМИЧЕСКОГО QR-КОДА ДЛЯ ПРЕДСТАВЛЕНИЯ НА МОНИТОРЕ ТСП
|
Рис. 55
|
 |
|
|
ОПЛАТА ПО B2B СБП С ПРЕДСТАВЛЕНИЕМ ДИНАМИЧЕСКОГО QR-КОДА НА МОНИТОРЕ ТСП
|
Рис. 56
|
 |
|
СПИСОК ИСТОЧНИКОВ
1. Положение Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".
2. Положение Банка России от 17.08.2023 N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".
3. Стандарт ОПКЦ СБП. Термины и сокращения. П. 226. Версия 1.1.
4. Федеральный закон от 27.06.2011 N 161-ФЗ "О национальной платежной системе" (с изменениями и дополнениями).
5. 
QR Code Specification for Payment Systems ( QRCPS) Consumer-Presented Mode - https://www.emvco.com/specifications/emv-qr-code-specification-for-payment-systems-emv-qrcps-consumer-presented-mode/.
6. QR Code Specification for Payment Systems ( QRCPS) Merchant-Presented Mode - https://www.emvco.com/specifications/emv-qr-code-specification-for-payment-systems-emv-qrcps-merchant-presented-mode/.
7. Alipay Global Portal - https://global.alipay.com/docs/.
8. ISO/DIS 20937:2023 "Financial services - Specification of QR-codes for mobile (instant) credit transfers" (www.iso.org).
9. ISO/DIS 5201:2022 "Financial services - Code-scanning payment security" (www.iso.org).
10. Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 18004-2015 "Информационные технологии. Технологии автоматической идентификации и сбора данных. Спецификация символики штрихового кода QR Code".
11. Standardisation of QR-codes for Mobile Initiated SEPA (Instant) Credit Transfers EPC024-22 Version 0.6/Date issued: 16 February 2022 - https://www.europeanpaymentscouncil.eu/sites/default/files/kb/file/2022-02/EPC024-22v0.6%20Standardisation%20of%20QR-codes%20for%20MSCTs.pdf.