9.3. Типовые меры защиты информации при осуществлении переводов денежных средств с использованием QR-кодов
Применение QR-кодов является удобным способом для осуществления переводов денежных средств, который активно внедряется организациями. В связи с этим организации должны обеспечивать соответствующий уровень защиты информации при использовании QR-кодов в процессах переводов денежных средств для предотвращения мошенничества. В целях повышения безопасности процессов, в которых применяются QR-коды, необходимо применять определенные меры защиты информации, которые нейтрализуют типовые угрозы.
Меры, направленные на минимизацию угроз информационной безопасности, реализованные на подэтапе "Формирование (подготовка), передача и прием QR-кода", при использовании QR-кодов для осуществления переводов денежных средств отражены в табл. 2 [8], [9].
Номер меры защиты информации соответствует технологическому подэтапу, угрозе и мере защиты информации, которые разделяются точкой. Следовательно, первая цифра соответствует шагу на технологическом подэтапе/технологическому участку, вторая цифра - угрозе, которая может быть реализована, третья - мере защиты информации. Например, номер 1.1.1, где первая цифра является шагом "Формирование, передача и прием запроса (данных) для генерации QR-кода", вторая - номером угрозы ("Угроза модификации запроса на формирование QR-кода"), третья - номером меры защиты ("Контроль правильности заполнения полей запроса на формирование QR-кода").
|
Формирование, передача, обработка запроса (данных) для генерации QR-кода |
Контроль правильности заполнения полей запроса на формирование QR-кода |
Проведение контроля заполнения всех полей запроса, направляемого получателем/плательщиком поставщику платежного QR-кода в соответствии с требованиями настоящего стандарта |
|||||
|
Контроль целостности запроса на получение QR-кода (например, с использованием MAC) |
Обеспечение целостности сообщений, содержащих запросы на генерацию QR-кода, с использованием криптографических алгоритмов, определенных национальными стандартами Российской Федерации |
||||||
|
Использование защищенного канала связи для передачи запроса на генерацию QR-кода |
Обеспечение защиты канала связи в соответствии с ГОСТ Р 34.12-2015 с использованием протокола TLS (с двухсторонней аутентификацией - при наличии технической возможности); |
||||||
|
обеспечение защиты канала связи на канальном или сетевом уровне с использованием средств криптографической защиты информации, прошедших оценку соответствия требованиям федерального органа исполнительной власти в области обеспечения безопасности |
|||||||
|
Проверка полномочий на выполнение запроса формирования QR-кода |
Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных, с которых производится формирование и передача запроса на генерацию QR-кода в соответствии со стандартом Банка России СТО БР БФБО-1.7-2023 |
||||||
|
Контроль на предмет отсутствия дублирования запросов (как исходящих, так и входящих) на формирование QR-кода |
Осуществление контроля на предмет отсутствия дублирования запросов на формирование QR-кода перед отправлением и при приеме. Контроль происходит путем сверки уникального идентификатора запроса и идентификатора операции с уже имеющейся базой запросов на формирование QR-кодов или платежных ссылок |
||||||
|
Определение лимитов запросов на формирование QR-кода с учетом потребностей получателя/плательщика и на основе анализа рисков поставщика платежного QR-кода |
|||||||
|
Формирование, передача, обработка запроса (данных) для генерации QR-кода |
Контроль значений реквизитов, помещаемых в QR-код или платежную ссылку, на соответствие значениям реквизитов платежа, полученным в запросе на генерацию QR-кода |
Сравнение всех значений реквизитов, помещаемых в QR-код или платежную ссылку, со значениями, полученными в запросе на формирование QR-кода |
|||||
|
Обеспечение целостности данных запроса на формирование QR-кода (например, с использованием MAC)/применение механизмов и (или) протоколов передачи данных для формирования QR-кода, обеспечивающих защиту этих данных от искажения, фальсификации, переадресации |
Обеспечение целостности данных, используемых для формирования и представления QR-кода, с использованием криптографических алгоритмов, определенных национальными стандартами Российской Федерации |
||||||
|
Использование защищенного канала связи при передаче запроса с данными, используемыми для формирования QR-кода |
Обеспечение защиты канала связи в соответствии с ГОСТ Р 34.12-2015 с использованием протокола TLS (с двухсторонней аутентификацией - при наличии технической возможности); |
||||||
|
обеспечение защиты канала связи на канальном или сетевом уровне с использованием средств криптографической защиты информации, прошедших оценку соответствия требованиям федерального органа исполнительной власти в области обеспечения безопасности |
|||||||
|
Идентификация и аутентификация устройства, с которого передается запрос для формирования QR-кода |
Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных, с которых производится отправка данных для формирования QR-кода в соответствии со стандартом Банка России СТО БР БФБО-1.7-2023, а также национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 |
||||||
|
Обработка запросов на формирование QR-кода в системе, обрабатывающей запросы, соответствующей требованиям безопасности |
Обеспечение соответствия системы поставщика платежного QR-кода, обрабатывающей запрос с данными для формирования QR-кода, требованиям национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 |
||||||
|
Формирование, передача, обработка запроса (данных) для генерации QR-кода |
Формирование метки времени в зашифрованном виде, содержащейся в QR-коде, и ограничение времени жизни для данного QR-кода |
Добавление в QR-код метки времени по факту его формирования (или формирования данных для его генерации) с использованием односторонней хеш-функции, полученной в соответствии с ГОСТ Р 34.11-2012, или ключевой хеш-функции, основанной на использовании отечественных криптографических алгоритмов шифрования; |
|||||
|
ограничение времени жизни динамического QR-кода, которое не превышает две минуты |
|||||||
|
Ограничение на использование конфиденциальных данных в открытом виде в составе данных QR-кода |
Контроль отсутствия конфиденциальной информации в составе данных QR-кода |
||||||
|
Разработка и утверждение внутреннего регламентирующего документа, где будет отражен состав данных, разрешенных для включения в QR-код |
Утверждение внутреннего регламентирующего документа, в котором будет описан состав данных, разрешенный для включения в QR-код |
||||||
|
Установление лимита операций для статического QR-кода плательщика |
Определение банком плательщика лимитов операций для статического QR-кода, необходимых для осуществления плательщиком переводов денежных средств, в соответствии с определенными в организации уровнями рисков |
||||||
|
минимизация использования конфиденциальных данных и данных, утечка которых может привести к осуществлению операций без добровольного согласия клиента, в динамических QR-кодах; |
|||||||
|
применение коротких ссылок, ведущих на защищенный ресурс, где находятся данные |
|||||||
|
Защита от несанкционированного просмотра данных, получаемых при сканировании QR-кода |
Использование алгоритмов шифрования данных, содержащихся в QR-коде для сокрытия реквизитов |
||||||
|
Ограничения по лимиту операций и сроку жизни QR-кода (актуально для QR-кода в статическом сценарии со ссылкой) |
|||||||
|
Формирование и представление QR-кода плательщиком/получателем |
Контроль соответствия сформированной строки для QR-кода запросу на формирование |
Обеспечение сверки ЭСП/платежным приложением плательщика и получателя полученной от поставщика платежного QR-кода строки с данными для преобразования в QR-код на соответствие отправленному запросу на формирование QR-кода |
|||||
|
Применение механизмов, обеспечивающих защиту алгоритмов преобразования QR-кода в графический вид для прикладного ПО (применение средств контроля целостности, обеспечение обновлений ПО из доверенного источника) |
Обеспечение контроля целостности ПО для преобразования QR-кода в графический вид (генератора QR-кода и среды его функционирования) средствами контроля целостности, имеющих сертификат соответствия ФСТЭК России; |
||||||
|
проведение тестирования обновлений (интеграционное, функциональное) перед обновлением ПО, формирующего QR-код; |
|||||||
|
изоляция процесса (преобразования QR-кода в графический вид) в выделенной области памяти |
|||||||
|
Аутентификация плательщика до отображения/преобразования строки в QR-код (графический вид) |
Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных, на которых отображается QR-код в соответствии со стандартом Банка России СТО БР БФБО-1.7-2023 |
||||||
|
Установление по умолчанию запрета на скриншот экрана, где размещено изображение QR-кода плательщика, и на отображение экрана сторонним приложениям |
Установка запрета на снимок экрана, где размещено изображение QR-кода |
||||||
|
Контроль на предмет отсутствия дублирования запросов на активацию ресурса, на который ведет QR-код или платежная ссылка |
Осуществление контроля на предмет отсутствия дублирования запросов на активацию ресурса, на который ведет QR-код/платежная ссылка перед отправлением получателем и при приеме таких запросов поставщиком платежного QR-кода |
||||||
|
Ограничение возможности передачи запросов на активацию ресурса, на который ведет QR-код или платежная ссылка |
Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных, с которых передается запрос на активацию ресурса, на который ведет QR-код, в соответствии с рекомендациями стандарта Банка России СТО БР БФБО-1.7-2023 |
||||||
|
Сканирование и получение данных из QR-кода для дальнейшего осуществления перевода денежных средств |
Отображение реквизитов, содержащихся в QR-коде, плательщику для принятия решения по его использованию |
Отображение плательщику реквизитов операции, полученных из QR-кода или платежной ссылки, предоставленных получателем платежа. Запрос подтверждения плательщика правильности заполненных реквизитов платежа |
|||||
|
Применение защитных механизмов при распечатывании статических QR-кодов, позволяющих пользователю заметить его подмену |
Использование визуальных эффектов (логотипов) для формирования отличительных признаков от обычных QR-кодов. Мера направлена на повышение сложности подделки QR-кода с визуальным эффектом; |
||||||
|
использование голографических изображений на распечатанных QR-кодах |
|||||||
|
Отображение реквизитов операции, содержащихся в QR-коде, плательщику для принятия решения по его использованию |
Отображение реквизитов операции плательщику (например, ссылка на ресурс) и запрос на подтверждение действий |
||||||
|
Проверка данных из QR-кода, необходимых для формирования электронного сообщения |
Проведение проверки целостности данных поставщиком платежного QR-кода, содержащихся в отсканированном QR-коде с использованием хеш-функции, сформированной по ГОСТ Р 34.11-2012, или ключевой хеш-функции, основанной на использовании отечественных криптографических алгоритмов шифрования |
||||||
|
3.3 |
Отображение реквизитов операции, содержащихся в QR-коде, плательщику для принятия решения по осуществлению операции |
Отображение плательщику реквизитов операции, полученных из QR-кода или платежной ссылки. Запрос подтверждения плательщика о правильности заполненных реквизитов |
|||||
|
3.3 |
Встраивание в ЭСП/платежные приложения, обрабатывающие QR-код, модулей антивирусного ПО для проверки QR-кода на наличие вредоносного кода; |
||||||
|
непрерывное обновление сигнатур баз данных приложений для сканирования QR-кодов; |
|||||||
|
подготовка рекомендаций и информирование плательщиков по использованию антивирусного ПО; |
|||||||
|
внедрение процедур проверки содержимого QR-кода, в том числе проверка URL-адреса короткой ссылки по спискам вредоносных ссылок |
|||||||
|
3.3 |
|||||||
|
Идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций |
Проверка полномочий на выполнение запроса формирования QR-кода |
Идентификация и аутентификация плательщика/получателя при входе в ЭСП/при входе в мобильное устройство для доступа к платежному приложению; |
|||||
|
запрет действий плательщика/получателя до идентификации и аутентификации в ЭСП/платежном приложении; |
|||||||
|
запрет действий плательщика/получателя до идентификации и аутентификации в ЭСП/на мобильном устройстве для доступа к платежному приложению |
|||||||
|
Аутентификация плательщика до отображения/преобразования строки в QR-код (графический вид) |
Идентификация и аутентификация плательщика в ЭСП/платежном приложении, отображающем QR-код; |
||||||
|
запрет действий плательщика по использованию QR-кода до проведения идентификации и аутентификации в ЭСП/платежном приложении |
|||||||
|
Ограничение возможности передачи запросов на активацию ресурса, на который ведет QR-код или платежная ссылка |
Идентификация и аутентификация пользователей, являющихся работниками получателя, при входе в приложение; |
||||||
|
запрет действий получателя до идентификации и аутентификации в приложении |
|||||||
|
Формирование (подготовка), передача и прием электронных сообщений |
Контроль дублирования данных и операции перевода денежных средств |
Присвоение банком плательщика уникального идентификатора для каждой операции осуществления перевода денежных средств, проводимой с использованием QR-кода |
|||||
|
Удостоверение права клиентов распоряжаться денежными средствами |
Поставщик платежного QR-кода проверяет местонахождение получателя/плательщика (при наличии/возможности сбора информации о географическом местоположении) во время обработки платежа. Геометка, полученная в запросе на создание QR-кода, должна совпадать с геометкой, направляемой в ЭС |
||||||
|
Лимиты платежей и лимиты суммы платежей для QR-кода определяются внутренними регламентирующими документами поставщика платежного QR-кода на основании анализа рисков |
|||||||
|
Подтверждение операции плательщиком в ЭСП/платежном приложении с использованием дополнительных факторов аутентификации в соответствии со СТО БР БФБО-1.8-2024 |
|||||||
|
Антифрод-мероприятия проводятся в соответствии с уровнями риска, определенными банком плательщика, банком получателя для переводов денежных средств |
|||||||
|
Удостоверение права клиентов распоряжаться денежными средствами |
Установление лимита операций для статического QR-кода плательщика |
Определение банком плательщика лимитов для операций со статическим QR-кодом, необходимых для осуществления плательщиком переводов денежных средств, в соответствии с определенными в организации уровнями рисков |
|||||
|
Осуществление банковской операции, учет результатов ее осуществления |
Деактивация ресурса, на который ведет короткая ссылка из QR-кода, после завершения платежа (актуально для QR-кода в статическом сценарии со ссылкой) |
Ресурс, на который ведет короткая ссылка из QR-кода, может быть использован только один раз (то есть деактивироваться сразу после совершения перевода денежных средств) |
|||||
|
Присваивание каждой операции, совершаемой с использованием QR-кода, уникального идентификатора в течение операционного дня |
|||||||
|
Уничтожение динамического QR-кода после осуществления операции |
Обеспечение уничтожения QR-кода плательщика/получателя в динамическом сценарии сразу после осуществления перевода денежных средств. Время жизни динамического QR-кода не должно превышать две минуты |
||||||
|
Контроль дублирования данных и операции перевода денежных средств |
Обеспечение проверки банком плательщика на предмет дублирования данных операции по переводу денежных средств, которая происходит на основании данных из QR-кода |
||||||
|
Обеспечение передачи уведомления плательщику о списании денежных средств по операции с использованием QR-кода. Обеспечение передачи уведомления получателю о зачислении денежных средств по операции с использованием QR-кода |
|||||||
|
Деактивация ресурса, на который ведет ссылка из QR-кода после осуществления операции (актуально для QR-кода в динамическом сценарии со ссылкой) |
Использование процесса деактивации ресурса, на который ведет ссылка из QR-кода, после осуществления перевода денежных средств |
||||||
|
Разработка рекомендаций для пользователей по использованию QR-кодов |
Добавление в рекомендации правил использования, возможные риски использования QR-кодов, сканеров QR-кодов и меры по снижению рисков; |
||||||
|
доведение рекомендаций по обеспечению безопасности QR-кодов понятным и доступным для пользователей образом (например, рекомендации могут быть в платежных приложениях в виде новостей) |
|||||||
|
Учет рисков при осуществлении переводов денежных средств с использованием офлайн - QR-Koga |
Обеспечение учета рисков при осуществлении переводов денежных средств с использованием офлайн-QR-кода. Определение лимитов офлайн-операций в целом и лимитов суммы офлайн-операций с использованием QR-кода. Лимиты операций определяются внутренними регламентирующими документами поставщика платежного QR-кода |
||||||
|
Информирование владельца QR-кода через ЭСП/платежное приложение о необходимости обязательной блокировки операций по украденным QR-кодам |
Информирование владельца QR-кода через ЭСП/платежное приложение о необходимости обязательной блокировки операций по украденным QR-кодам. Внесение в договор с клиентом информации о необходимости информирования банка плательщика о краже QR-кода |
||||||
|
Разработка рекомендаций и (или) требований для ТСП по обеспечению информационной безопасности для оборудования, обеспечивающего операции с использованием QR-кода |
Разработка рекомендаций по информационной безопасности для ТСП при осуществлении операций с использованием QR-кодов, формируемых поставщиком платежного QR-кода. Социальная реклама и обучение работников ТСП, которые взаимодействуют с поставщиком платежного QR-кода |
||||||
|
3.3 |
Повышение уровня осведомленности плательщиков/получателей при использовании платежных QR-кодов |
Подготовка обучающих материалов по безопасному использованию QR-кодов, различных сканеров QR-кодов для их распознавания, распространение среди плательщиков/получателей, использующих платежные QR-коды (например, публикация информации в платежных приложениях, ЭСП, СМИ, по телевидению) |
|||||
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2026
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875