Комплаенс

Управление финансовых услуг штата Нью-Йорк контролирует около 1 500 банков и финансовых организаций в США, а также многие международные организации, ведущие бизнес в Нью-Йорке. Требования по кибербезопасности в компаниях сферы финансовых услуг

Требования по кибербезопасности в компаниях сферы финансовых услуг включают 22 положения, которые финансовые организации должны выполнять в целях защиты данных. В частности, они должны внедрить эффективные средства предотвращения несанкционированного доступа к информационным системам или непубличной информации, основанные на оценке рисков, включая  многофакторную аутентификацию, биометрическую аутентификацию или аутентификацию на основе рисков.

Подробнее см. в нашем блоге в статье Требования регламента NYDFS в индустрии финансовых услуг

Вторая платежная директива ЕС (PSD2) включает требования, касающиеся строгой аутентификации клиентов (SCA). Финансовые организации должны были выполнить эти требования к сентябрю 2019 г. Однако согласно последней поправке ЕБО этот срок может быть продлен для ряда поставщиков платежных услуг (PSP) — в контексте электронных платежей с банковских карт.

В директиве приводятся пять критериев соответствия.

• Строгая аутентификация. Аутентификацию необходимо выполнять минимум по двум факторам, включая пароли или PIN-коды, токены или мобильные устройства, а также биометрию.

• Анализ рисков, связанных с транзакциями. Организации обязаны анализировать риски при транзакциях, чтобы выявлять попытки фрода.

• Защита от репликации. В мобильных приложениях, подпадающих под требования Директивы PSD2, должны использоваться технологии защиты от клонирования.

• Технология Dynamic Linking. При проведении платежных транзакций код аутентификации должен быть динамически привязан к сумме и получателю платежа.

• Независимые элементы. Поставщики платежных услуг должны использовать меры защиты от рисков, связанных со взломанными мобильными устройствами.

Новая Программа ЕС по сертификации в сфере кибербезопасности, предложенная еще в 2017 г., призвана обеспечить дополнительную защиту онлайн-сервисов и пользовательских устройств, в том числе Интернета вещей. После официального одобрения Европейским парламентом она будет опубликована в Официальном вестнике ЕС и моментально вступит в силу. Подробнее см. в официальном пресс-релизе.

В мае 2017 г. Агентство денежного обращения Саудовской Аравии (SAMA) разработало Концепцию угроз кибербезопасности для усиления защиты от подобных угроз. Аналогичные стандарты и руководства по кибербезопасности вводят государственные организации и банковские службы контроля по всему миру.

Четыре главных аспекта этой концепции:

• Идентификация и управление доступом
• Безопасный канал связи для банковских услуг онлайн и на мобильных устройствах
• Экранирование мобильного приложения
• Обнаружение и предотвращение фрода

Подробнее см. в этой публикации в блоге: Концепция угроз кибербезопасности SAMA

15 марта 2020 г. турецкое Агентство банковского регулирования и надзора (BRSA) опубликовало Регламент об информационных системах для традиционных и электронных банковских услуг, 
существенно влияющий на банки, аудиторские компании, поставщиков банковских технологий и решений для открытого банкинга. Этот регламент вступил в силу 1 июля 2020 г.

Он затрагивает следующие сферы:

• Создание банковских информационных систем и управление ими
• Информационная безопасность банков
• Электронные банковские услуги

Узнайте, как новые нормы повлияли на аутентификацию с помощью одноразовых паролей в SMS, двухфакторную аутентификацию, системы защиты мобильных приложений, транзакций и т. д.: https://www.onespan.com/blog/financial-regulatory-landscape-in-turkey
 

Денежно-кредитное управление Сингапура (MAS) разработало Руководство по управлению технологическими рисками (TRM), а также Руководство по повышению устойчивости бизнеса (BCM).

Руководство TRM содержит инструкции по обеспечению безопасности при разработке ПО, онлайн-наблюдении, симуляции атак, а также по управлению киберрисками, связанными с Интернетом вещей. В нем также есть раздел "Безопасность финансовых онлайн-сервисов" со следующими положениями:

• Раздел 14.1.7: "Взломанным мобильным устройствам следует запретить доступ к мобильным приложениям финансовых организаций, позволяющим выполнить финансовые транзакции, поскольку такие устройства хуже защищены от вредоносного ПО и угроз безопасности".

• Раздел 14.2.1: "Многофакторную аутентификацию необходимо развернуть в точке входа в финансовые онлайн-сервисы, чтобы сделать процесс аутентификации клиентов безопасным".

• Раздел 14.2.4: "Финансовые организации могут применить подход на основе рисков и внедрить подходящую модель аутентификации (адаптивную или на основе рисков), чтобы предложить клиентам способы аутентификации, соответствующие уровню риска при транзакции и конфиденциальности информации".

• Раздел 14.2.8: "Если для аутентификации клиентов используется программный токен, соответствующие меры безопасности, такие как проверка личности клиента, обнаружение и блокировка взломанных устройств, а также привязка устройств, следует применять в ходе инициализации программного токена".

• Раздел 14.3.1: "Финансовые организации должны в реальном времени отслеживать действия мошенников или использовать системы наблюдения, чтобы выявлять и блокировать подозрительные или мошеннические онлайн-транзакции".

Стандарт безопасности данных индустрии платежных карт

PCI DSS 3.2 — это стандарт безопасности данных в организациях, работающих с кредитными картами известных брендов. Он защищает платежную информацию клиентов. Стандарту PCI DSS должны соответствовать все организации, участвующие в обработке платежных карт — приобретатели, оформители, продавцы, обработчики, поставщики услуг и т. д. Он также распространяется на все остальные организации, которые хранят, обрабатывают или передают данные владельцев карт.

В 2018 г. обязательным стало требование 8.3, согласно которому организации обязаны всегда использовать многофакторную аутентификацию при доступе в среду данных владельцев карт не с терминалов, а также при удаленном доступе к сети, инициированном за пределами сети организации.

Для защиты от новых угроз и предотвращения киберпреступлений SWIFT (Общество всемирных межбанковских финансовых каналов связи) представило новый стандарт безопасности пользователей SWIFT Security Controls Framework и Программу защиты клиентов (CSP). Подробнее о том, как SWIFT помогает обеспечить безопасность и целостность данных в системах, подключенных к сети SWIFT, читайте в этом блоге. 

По федеральным законам и законам штатов США электронные подписи имеют такой же юридический статус, что и рукописные. Федеральный закон США "Об электронных подписях в международном и национальном коммерческом обороте" (ESIGN) дает юридический статус электронным подписям и записям, чтобы удовлетворить требование "письменно" оформлять транзакции, включая отчетность, и разрешает организациям хранить официальные документы исключительно в электронном формате. Однако ESIGN требует получить разрешение пользователя на ведение бизнеса в электронном формате.

На региональном уровне 47 штатов, округ Колумбия, Пуэрто-Рико и Виргинские острова приняли Единообразный закон об электронных транзакциях (UETA). Кроме того, по федеральному закону ESIGN электронные подписи имеют юридическую силу при торговле внутри штатов, принявших закон UETA.

20 декабря 2018 г. вступил в силу Закон об интегрированном цифровом пространстве XXI в. (21st Century IDEA) , устанавливающий минимальные стандарты работоспособности и безопасности для федеральных государственных учреждений США с целью улучшить взаимодействие граждан и правительства в цифровой среде. Например, согласно этому закону государственные учреждения должны предлагать цифровые версии всех бумажных документов и принимать от граждан электронные подписи.

Подробнее см. в этом блоге.
 

Согласно Правилу FINRA 4512(a)(3) ("Информация о счете клиента") ранее брокерские фирмы обязаны были получить "сырую" подпись каждого названного физического лица, имеющего право предпринимать самостоятельные действия по отношению к счету, до его открытия. 16 апреля 2019 г. Комиссия по ценным бумагам и биржам США приняла предложенную поправку к Правилу 4512(а)(3), позволяющую участникам получать электронную подпись вместо "сырой".

Подробнее см. в этом блоге.

Многие штаты США приняли или рассматривают законы, позволяющие государственным нотариальным конторам заверять документы онлайн. В том числе:

• Закон штата Индиана SB 372 (утвержден 13 марта 2018 г.; вступил в силу 1 июля 2019 г.)
• Закон штата Луизиана HCR 31 (представлен 6 апреля 2018 г.; прошел в Палате представителей и в Сенате)
• Закон штата Мичиган SB 5811 (утвержден 28 июня 2018 г.; вступил в силу 30 марта 2019 г.)
• Закон штата Миннесота SB 893 (утвержден 20 мая 2018 г.; вступил в силу 01 января 2019 г.)
• Закон штата Невада SB 413 (утвержден 09 июня 2017 г.; вступил в силу 01 июля 2018 г.)
• Закон штата Огайо SB 263 (утвержден в марте 2018 г.; вступил в силу 19 сентября 2019 г.)
• Закон штата Северная Дакота HB 1110 (вступил в силу 11 марта 2019 г.)
• Закон штата Южная Дакота HB 1272 (вступил в силу 18 марта 2019 г.)
• Закон штата Теннесси SB 1758 (утвержден 15 мая 2018 г.; вступил в силу 1 июля 2019 г.)
• Закон штата Техас SB 1217 (утвержден 1 июня 2017 г.; вступил в силу 1 июля 2018 г.)
• Закон штата Кентукки SB 114 (утвержден 25 марта 2019 г.; вступил в силу 01 января 2020 г.)

Как и закон UETA в США, региональные законы об электронных подписях в Канаде приравнивают электронные подписи к физическим.

Во всех регионах Канады законы об электронной коммерции и электронных подписях практически одинаковы. Все регионы и провинции приняли собственные унифицированные акты об электронной коммерции на основе законов, принятых ООН и Национальной конференцией по унификации законов Канады (ULCC).

Например, закон Онтарио об электронной коммерции от 2000 г. (ECA) регулирует использование электронных документов в коммерческих транзакциях. В отчете "Electronic Signatures in Canadian Law" ведущей канадской юридической компании по предпринимательскому праву Stikeman Elliott LLP сказано следующее: "Несмотря на некоторые различия, все региональные акты об электронной коммерции подтверждают, что подписи, документы и оригиналы в электронном формате являются действительными и имеют юридическую силу".

Подробнее см. в юридическом руководстве Stikeman Elliott по электронным подписям. 

Регламент ЕС об электронной идентификации и трастовых услугах для электронных транзакций на едином европейском рынке (eIDAS) вступил силу в Европейском союзе 1 июля 2016 г., заменив собой Директиву 1999/93/EC об электронных подписях. В отличие от этой директивы регламент eIDAS распространяется на все государства-члены ЕС.

eIDAS гарантирует признание электронных подписей и удостоверений личности за границей. В нем также обозначены три типа электронных подписей: простая, усиленная и квалифицированная.

Подробнее о юридической силе каждой из них см. в этом документе: eIDAS and E-Signature: a Legal Perspective, автор: Лорна Бразелл (Lorna Brazell), Osborne Clarke LLP.

26 июня 2020 г. в "Официальных ведомостях" опубликован закон №7247 с поправками к ряду существующих законов, влияющих на цифровые соглашения. По этому закону финансовые компании могут принимать электронные подписи при открытии банковских счетов, оформлении кредитов и кредитных карт, а также при заключении договоров об аренде.
 

Подробнее см. в этом блоге: https://www.onespan.com/blog/financial-regulatory-landscape-in-turkey
 

В Бразилии сфера использования электронных подписей делится на две категории:

• Без технологических стандартов. Законы Бразилии позволяют использовать электронные подписи в сферах, где тип подписи не регулируется законом. В этом случае электронная подпись должна подтверждать целостность подписанного документа и личность автора подписи, однако для этого можно использовать любые технологии. Отсутствие технологических стандартов в данном случае связано с тем, что законы Бразилии защищают свободу формы.
• С технологическими стандартами. Некоторые типы документов и подписантов предполагают использование цифрового сертификата, выданного подписанту инфраструктурой ICP-Brasil — публичной инфраструктурой сертификации ключей с метками времени и правилами, эквивалентными Квалифицированной электронной подписи (QES), которую внедрила организация PKI Brazil. У этой инфраструктуры есть технологические стандарты, которые в данном случае необходимо соблюдать.

Подробнее см. в официальном документе Законы Бразилии в отношении электронных подписей, созданном при поддержке юридической компании Opice Blum LLP (на португальском языке).

Согласно закону №527 от 1999 года, электронные подписи юридически эквивалентны рукописным. Однако при этом они должны соответствовать требованиям, изложенным в декрете №2364 от 2012 г.

Подробнее см. в официальном документе Законы Колумбии в отношении электронных подписей, созданном при поддержке Эрика Ринкона Карденаса (Erick Rincon Cardenas), соучредителя Rincon Cardenas & Moreno (на испанском языке).

В 2000 году Конгресс Республики Перу утвердил закон №27269 о цифровых подписях и сертификатах, гласящий: "Этот закон призван регулировать использование электронных подписей, гарантируя им юридическую силу, эквивалентную или аналогичную рукописным подписям, что подразумевает волеизъявление".

Подробнее см. в официальном документе Законы Перу в отношении электронных подписей, созданном при поддержке Эрика Ринкона Карденаса (Erick Rincon Cardenas), соучредителя Rincon Cardenas & Moreno (на испанском языке).

В 1999 г. Парламент Австралии издал Указ об электронных транзакциях, а в 2011 г. к нему были приняты поправки. Согласно Указу об электронных транзакциях электронные подписи имеют такой же юридический статус, что и физические.

Австралийское правительство заявляет: "Если по законам Содружества вы обязаны предоставлять информацию в письменной форме, оформлять документы в материальной форме либо записывать/хранить информацию, согласно Указу об электронных транзакциях вы имеете право делать это в электронной форме".

Подробнее см. в нашей электронной книге Электронные подписи и закон: обзор законов в разных странах. 
 

Закон об электронных подписях и сертификации для компаний, вступивший в силу в Японии в 2001 г., признает юридическую силу двух типов электронных подписей, используемых по всему миру: усиленных и квалифицированных.

Подробнее см. в нашей электронной книге Электронные подписи и закон: обзор законов в разных странах. 

Этот закон, принятый в 1998 г., обеспечивает юридическую базу для электронных подписей, а также гарантирует предсказуемость и достоверность электронных контрактов. Правительство Сингапура заявляет: "В электронной среде рукописные подписи можно заменить цифровыми подписями. Цифровые подписи, как и рукописные, можно использовать для идентификации физического или юридического лица либо для подтверждения правовых обязательств. Закон об электронных транзакциях подтверждает юридическую силу цифровых подписей в рамках законодательства Сингапура".

Подробнее см. в нашей электронной книге "Электронные подписи и закон: обзор законов в разных странах".