Для банков выпустили новые правила проверки email

27.02.2020      20278

Центробанк обновил требования по проверке адресов электронной почты клиентов. Рекомендации разослали в электронном письме банкам и некредитным финорганизациям.

Зачем это нужно

Новые правила призваны обезопасить клиентов от мошенничества. Нередко злоумышленники указывают некорректные или перехваченные email реальных клиентов, чтобы украсть важную информацию или подделать платежное поручение. Более жесткая и тщательная проверка не даст им шансов.

Новые требования также предупредят случайное получение банковской информации посторонними. Таким образом, повысится уровень безопасности, средства и персональные данные будут лучше защищены. 

Центробанк получил немало обращений граждан о том, что их данные, которые составляют банковскую тайну, передавали третьим лицам. Получая контроль над реальным email или подделывая адрес, мошенники узнавали о состоянии счета, кредитной задолженности, платежах и т.д. Эту информацию можно использовать в схемах телефонного мошенничества (когда клиенту якобы звонит сотрудник банка) и для прицельного взлома банковских аккаунтов. 

Суть нового алгоритма проверки

В информационном письме говорится, что прежде чем отправлять на email клиента первое сообщение, банк должен проверить, действительно ли адрес принадлежит нужному человеку. Механизм проверки рекомендуется реализовывать следующим образом:

  • Первый шаг – проверка дубликатов адресов в базе. Если выявлено совпадение среди адресов электронной почты других клиентов, банк должен логировать, что email не подтвержден, а затем сообщить об этом клиенту лично или по телефону. Необходима и проверка номера мобильного на наличие дубликатов в базе банка. 

  • Если email не дублируется в базе и принадлежит нужному клиенту, банк должен отправить на этот адрес ссылку для проверки, а также передать на мобильный телефон клиента SMS с паролем, который необходимо ввести при переходе по этой ссылке. Кроме ввода кода из SMS на сайте, Центробанк предлагает также использовать графический ключ, чтобы защитить информацию от автоматизированных систем подбора паролей. Таким образом, проверка email включает ввод трех компонентов: ссылки, кода из SMS и графического ключа. Если хотя бы один из элементов отсутствует или введен неверно, email считается неподтвержденным.

  • Когда истекает срок действия ссылки либо когда превышено количество попыток ввода графического ключа или кода, банк должен удалять из своей базы неподтвержденные адреса. 

При реализации механизма подтверждения email, банкам рекомендуется использовать ссылки верификации, содержащие уникальный набор символов, чтобы их нельзя было подобрать или угадать. А также использовать для ссылок срок действия, разработанный в рамках системы управления рисками.

Безопасность в наших руках

В информационном письме содержатся лишь рекомендации, а не конкретизированные требования. Например, неясно, как часто нужно проводить повторную проверку email и телефонных номеров, как долго должна быть действительной ссылка на подтверждение адреса и сколько попыток ввода кода из SMS или графического ключа допускается.

Все это отдается на откуп разработчикам. Авторы документа надеются, что банки примут их к сведению и реализуют в текущих системах, чтобы обезопасить средства и данные клиентов. 


Автор:
Обозреватель


См. также

Новость Банки ИТ-Новость

В четырех регионах России в сентябре начнется эксперимент по развитию исламского банкинга. В ходе тестирования банковские организации смогут оказывать услуги без установления процентной ставки.

31.08.2023    1152    VKuser24342747    9       

1

Новость Банки ИТ-Новость

Центробанк намерен ввести обязательное требование для финансовых учреждений-участников Системы быстрых платежей. Они должны внедрить систему в браузерные версии своих платежных приложений и обеспечить проведение платежей через СБП между компаниями.

25.10.2022    8342    VKuser24342747    1       

2

Новость Безопасность ИТ-Новость Роскомнадзор

Минцифры подготовило подзаконные акты, которые обяжут операторов персональных данных уведомлять Роскомнадзор о намерении передать ПДн в другое государство. РКН получит право блокировать такую передачу.

21.09.2022    5927    VKuser24342747    2       

2

Новость Банки Безопасность ИТ-Новость

Российские банки не смогли в отведенный ЦБ срок внедрить в свои программы функцию получения кредитов и открытия счетов при помощи биометрических данных. Из-за этого учреждениям грозит штраф.

07.09.2022    5550    VKuser24342747    1       

2

Новость Банки ИТ-Новость

Центробанк поддерживает недавнее предложение банка «Тинькофф» о распространении льгот для высокотехнологичных компаний на банковскую отрасль. По мнению регулятора, у кредитных организаций довольно большой потенциал технологического развития.

01.06.2022    4277    VKuser24342747    3       

2

Новость Банки ИТ-Новость

Центробанк РФ намерен запустить тестирование цифрового рубля на реальных клиентах в 2023 году. Ранее старт проекта был намечен на 2024 год, а ускорение связано в том числе с санкциями.

30.05.2022    5468    VKuser24342747    1       

2

Новость Банки ИТ-Новость

Госдума в первом чтении приняла законопроект, в котором предусмотрен налог на прибыль по ставке 13% для российских обладателей цифровых активов. Для иностранных организаций тариф составит 15%.

20.05.2022    6402    VKuser24342747    0       

2

Новость Безопасность ИТ-Новость

На сайте госуслуг запущен бесплатный сервис по выпуску отечественных TLS-сертификатов безопасности. Услуга актуальна для владельцев сайтов, иностранный TLS-сертификат которых был отозван или не продлен из-за санкций.

11.03.2022    16921    Senator_I    6       

5
Комментарии
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
1. rpgshnik 3789 27.02.20 11:31 Сейчас в теме
Прикольно, хочу поставить "плюс" новости - инфостарт предлагает её отправить в избранное :) не делаю этого
Хорошо бы разделить "плюсы" и "избранное"... не только для новостей
2. for_sale 976 27.02.20 11:47 Сейчас в теме
(1) Ещё более интересно становится, когда находишь в этом самом избранное не только то, чему плюсы поставил, но и минусы! Не понравился материал, влепил ему минус - теперь будешь его постоянно видеть у себя в избранном)) Обращался в ТП, ответ был в духе - когда-нибудь в отдалённом светлом будущем всё будет хорошо.
rusmil; YanTsys; rpgshnik; +3 Ответить
3. rpgshnik 3789 27.02.20 11:48 Сейчас в теме
(2) взаимная боль, тоже обращался :) и про минусы
4. spectre1978 61 27.02.20 12:28 Сейчас в теме
(1) это давняя хрень. Накой мне в избранном то чему я поставил плюс, особенно новости, которые через день нахрен не нужны и неинтересны - понять сложно.
Но умный инфостарт считает, что нужны :))
Приходится периодически вычищать избранное, ну или не ставить плюсы.
5. for_sale 976 27.02.20 12:46 Сейчас в теме
(4) Просто, видимо, считают, что и так сойдёт) Собаки лают - караван идёт. Монополия)
6. oleg-x 22 27.02.20 14:00 Сейчас в теме
Я для плюсиков сделал раздел избранное. Так и назвал "Для плюсиков" и не парюсь :-)
Оставьте свое сообщение