Приложение 5. "Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности использования QR-кодов при осуществлении переводов денежных средств" СТО БР БФБО-1.9-2024" (принят и введен в действие приказом Банка России от 28.12.2024 N ОД-2367)
Приложение 5. ПРОЦЕСС СНЯТИЯ/ВНЕСЕНИЯ НАЛИЧНЫХ ДЕНЕЖНЫХ СРЕДСТВ В БАНКОМАТЕ С ИСПОЛЬЗОВАНИЕМ ЭСП
Приложение 5 
ПРОЦЕСС
СНЯТИЯ/ВНЕСЕНИЯ НАЛИЧНЫХ ДЕНЕЖНЫХ СРЕДСТВ В БАНКОМАТЕ
С ИСПОЛЬЗОВАНИЕМ ЭСП
Сценарий процесса
Пользователь проходит аутентификацию в ЭСП, выбирает реквизиты для оплаты, статический/динамический сценарий для QR-кода (для статического сценария вводится сумма), передает запрос на формирование поставщику платежного QR-кода (банк плательщика).
Поставщик платежного QR-кода проверяет возможность формирования QR-кода.
При положительном результате проверок формируется QR-код (для QR-кода в статическом сценарии рекомендуется уменьшать сумму денежных средств на счете, доступных плательщику для осуществления перевода).
Пользователь предъявляет QR-код в банкомате для снятия денежных средств. Банкомат сканирует и передает запрос в банк пользователя, чтобы проверить возможность снятия денежных средств. При положительном результате проверок передается запрос в ЭСП плательщика для подтверждения операции и указания суммы денежных средств. После подтверждения банк плательщика проверяет его корректность, уменьшает сумму денежных средств на счете, доступных пользователю для осуществления перевода, и выдает наличные денежные средства пользователю.
Пользователь предъявляет QR-код в банкомате для внесения денежных средств. Банкомат сканирует и передает запрос в банк пользователя, чтобы проверить возможность внесения денежных средств. При положительном результате проверок передается запрос в ЭСП пользователя для подтверждения операции. После подтверждения банк пользователя проверяет его корректность, передает уведомление в банкомат о возможности внесения денежных средств. Пользователь вносит денежные средства в банкомат, который передает информацию в банк пользователя о необходимости зачисления суммы денежных средств на счет.
Схемы процесса представлены на рис. 17 - 20. Меры защиты на технологических участках и подэтапах приведены в табл. 12.
|
МЕРЫ ЗАЩИТЫ ДЛЯ QR-КОДОВ В ЭСП ПРИ СНЯТИИ/ВНЕСЕНИИ ДЕНЕЖНЫХ СРЕДСТВ В БАНКОМАТЕ
|
Табл. 12
|
|
N
|
Подэтап/технологический участок
|
Меры защиты
|
|
1.
|
Формирование, передача, обработка запроса (данных) для генерации QR-кода
|
Меры защиты из раздела 9.3:
1.1.1 - 1.1.3, 1.1.5, 1.2.1, 1.2.2, 1.3.1 - 1.3.5, 2.3.1, 2.5.1, 2.5.2, 3.4.1, 3.4.2
|
|
2.
|
Формирование и представление QR-кода плательщиком/получателем
|
1.3.6, 2.1.1, 2.3.2, 2.3.5, 2.4.1, 2.4.3
|
|
3.
|
Сканирование и получение данных из QR-кода для дальнейшего осуществления перевода денежных средств
|
2.1.2, 2.2.3, 2.2.4, 3.2.1 - 3.2.3
|
|
4.
|
Идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций
|
1.1.4
|
|
5.
|
Формирование (подготовка), передача и прием электронных сообщений
|
3.1.6
|
|
6.
|
Удостоверение права клиентов распоряжаться денежными средствами
|
2.3.4, 2.3.7, 3.1.4, 3.1.5
|
|
7.
|
Осуществление банковской операции, учет результатов ее осуществления
|
3.1.1 - 3.1.3, 3.1.7, 3.1.8, 3.4.3
|
|
8.
|
Все шаги технологического подэтапа/технологические участки
|
2.2.2, 2.3.3, 2.3.6, 3.2.4
|
|
ФОРМИРОВАНИЕ QR-КОДА В ЭСП ДЛЯ СНЯТИЯ/ВНЕСЕНИЯ ДЕНЕЖНЫХ СРЕДСТВ
|
Рис. 17
|
 |
|
|
ПРЕДЪЯВЛЕНИЕ QR-КОДА ПОЛЬЗОВАТЕЛЕМ
|
Рис. 18
|
 |
|
|
СНЯТИЕ НАЛИЧНЫХ ДЕНЕЖНЫХ СРЕДСТВ В БАНКОМАТЕ ПО QR-КОДУ ПОЛЬЗОВАТЕЛЯ
|
Рис. 19
|
 |
|
|
ВНЕСЕНИЕ НАЛИЧНЫХ ДЕНЕЖНЫХ СРЕДСТВ В БАНКОМАТЕ ПО QR-КОДУ ПОЛЬЗОВАТЕЛЯ
|
Рис. 20
|
 |
|