Во Вестнике Банка России был опубликован важный для банковских безопасников документ:
В нем есть целый ряд «косметических» правок 382-П , а также:
- Появилось требование регистрации и хранения в течение 5 лет информации о действиях клиентов в автоматизированных системах, а именно:
– дата (день, месяц, год) и время (часы, минуты, секунды) осуществления действия клиента;
– набор символов, присвоенный клиенту и позволяющий идентифицировать его в автоматизированной системе, программном обеспечении (далее – идентификатор клиента);
– код, соответствующий выполняемому действию;
– идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления переводов денежных средств, которой в зависимости от технической возможности является IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства (далее – идентификатор устройства).
- Исчезло явно невыполнимое требование использовать в платежом процессе только сертифицированные СКЗИ
- Появились требования к отчетам с результатами оценки соответствия
- Появилось требование провести первую оценку соответствия по 382-П в течение 6 месяцев со дня получения статуса участника платежной системы (самых распространенных ролей)
В результате, те, кто ждали 1 июля 2014 года, как крайнего срока проведения оценки соответствия теперь должны пересмотреть свои планы и закончить первую оценку до конца этого года. Или .
