Creditare


I.6 Proceduri concrete de autorizare a instrumentelor bancare cu



Yüklə 328,43 Kb.
səhifə3/7
tarix24.11.2017
ölçüsü328,43 Kb.
#32746
1   2   3   4   5   6   7
I.6 Proceduri concrete de autorizare a instrumentelor bancare cu

acces la distanţă
In vederea obţinerii autorizaţiei pentru emiterea instrumentelor de plată electronică, o societate bancară solicitantă trebuie să prezinte Băncii Naţionale a României - Direcţia reglementare şi autorizare, următoarele documente:

a) Cererea de autorizare însoţită de două specimene ale instrumentului de plată electronică care se doreşte a fi emis, acolo unde este cazul;

b) Normele şi procedurile interne legate de instrumentele de plată electronică, aprobate de Consiliul de administraţie al solicitantului;

c) În cazul în care solicitantul nu este proprietar de marcă, se vor anexa la cererea de autorizare toate certificările şi aprobările primite de la proprietarul de marcă cu privire la designul şi condiţiile tehnice de executare a cardului, a hardware şi a software utilizate;

d) În cazul cardurilor, în situaţia în care acestea sunt cu circulaţie internaţională, iar solicitantul nu este proprietar de marcă, se vor anexa şi certificările proprietarului de marcă cu privire la integrarea în sistemul de autorizare a tranzacţiilor şi cel de decontare a acestora;

e) În situaţia în care se solicită autorizarea pentru un sistem bazat pe un instrument de plată electronică de tipul chip-card, domestic card şi/sau card cu circulaţie internaţională, cererea va fi însoţită de o scrisoare de certificare din partea VISA International - S.A. sau Europay International - S.A., din care să rezulte că instrumentul de plată electronică este compatibil cu specificaţiile EMV (Europay/Mastercard/VISA), ultima ediţie, valabilă la data cererii; certificarea nu este necesară în cazul în care chip-ul înglobat în instrumentul de plată este folosit în alte scopuri decât cele de plăţi (identificare, acces etc.);

f) În situaţia în care emitentul solicită autorizarea pentru un instrument de plată cu acces la distanţă, de tipul aplicaţiilor Internet-banking sau home-banking, cererea va fi însoţită de toate avizele/certificările primite de la producătorul programului informatic - software aflat la baza aplicaţiei -, privind nivelul de securitate al transmisiilor de date şi protocolul de răspuns utilizat în cazul apariţiei unor disfuncţionalităţi în cadrul sistemului, precum şi de avizul Ministerului Comunicaţiilor şi Tehnologiei Informaţiei sau al altor entităţi indicate de acesta;

g) Un business plan care va cuprinde, fără a se limita la acestea, următoarele elemente: informaţii privitoare la emitent (numărul şi tipul conturilor şi al sediilor secundare, alte instrumente de plată emise şi autorizate de Banca Naţională a României până la momentul prezentării cererii de autorizare, descrierea detaliată a sistemului informatic al emitentului, utilizat pentru desfăşurarea activităţilor legate de emiterea unui instrument de plată electronică), informaţii despre instrumentul de plată electronică (tipul instrumentului de plată electronică ce urmează să fie emis, serviciile ce urmează să fie oferite prin intermediul instrumentului de plată electronică, moneda în care este denominat instrumentul de plată electronică, modalităţile de identificare, urmărire şi gestionare a riscurilor ce pot fi induse de utilizarea frauduloasă a instrumentului de plată electronică), informaţii despre aria de utilizare a instrumentului de plată electronică (numărul de clienţi potenţiali, zona geografică de utilizare) şi obiective (numărul instrumentelor de plată electronică ce vor fi emise, modul de efectuare a analizei de solvabilitate în cazul cardurilor de credit, estimarea numărului anual de tranzacţii, data la care se intenţionează începerea emiterii instrumentului respectiv, canalele de distribuţie - la ghişeu, sucursale, prin poşta etc., tipul de hardware şi software ce urmează să fie folosit, strategia de promovare a produsului, modul de organizare a campaniei publicitare, estimare pe durata a 3 ani a veniturilor şi cheltuielilor legate de instrumentul de plată electronică şi utilizarea acestuia).

In urma analizării documentaţiei prezentate, în decurs de 30 de zile de la data primirii acesteia, Banca Naţională a României va comunica solicitantului decizia sa cu privire la autorizarea acestuia.

In cazul în care decizia este favorabilă, Banca Naţională a României va emite solicitantului o autorizaţie provizorie, valabilă 90 de zile, perioadă în care solicitantul se va afla sub monitorizarea specială a Băncii Naţionale a României.

Obiectivele urmărite în perioada de monitorizare sunt:

a) derularea zilnică a operaţiunilor;

b) analizarea săptămânală a statisticilor rezultate din utilizarea instrumentelor de plată electronică, în scopul prevenirii unor probleme potenţiale;

c) analizarea desfăşurării activităţii serviciului de gestiune a riscului (dacă există);

d) analizarea modului de decontare a operaţiunilor;

e) elaborarea de rapoarte săptămânale de monitorizare.

In situaţia în care rezultatele obţinute în perioada de monitorizare sunt în parametri normali, Banca Naţională a României va emite solicitantului autorizaţia definitivă pentru tipul de instrument de plată electronică precizat în cererea de autorizare.

I.7 Avizarea instrumentelor de plată cu acces la distanţă, de tipul

aplicaţiilor Internet banking, home banking sau mobile banking
Ministerul Comunicaţiilor şi Tehnologiei Informaţiei eliberează băncilor active în România avizele necesare funcţionării instrumentelor electronice. Avizele sunt acte administrative emise de Minister şi conferă băncii posesoare posibilitatea de a obţine autorizaţia din partea Băncii Naţionale a României de a emite instrumentul de plată cu acces la distanţă. Baza legală a eliberării acestor avize este conferită de Ordinul ministrului comunicaţiilor şi tehnologiei informaţiilor nr. 218/2004 privind procedura de avizare a instrumentelor de plată cu acces la distanţă, de tipul aplicaţiilor Internet banking, home banking sau mobile banking. Un aviz eliberat este valabil până la data de 1 aprilie a anului următor emiterii şi este un document netransmisibil. Acest Ordin se aplică băncilor active pe teritoriul României şi stabileşte procedura pentru eliberarea unui aviz tehnic de autorizare a instrumentelor de plată cu acces la distanţă. Ordinul înlocuieşte un act al aceleiaşi instituţii (MCTI) – Ordinul 16/2003 – care prevedea efectuarea unui audit asupra planului de securitate al sistemelor de tip electronic-banking, dar nu existau observaţii privind modalităţile concrete de auditare şi persoana auditorului. Prin Ordinul ministrului comunicaţiilor şi tehnologiei informaţiei nr. 218/2004, sistemele de Internet-banking, home-banking sau mobile-banking ale băncilor trebuie să îndeplinească anumite condiţii de securitate pentru a putea fi validate. Acest act normativ stipulează necesitatea existenţei unor proceduri potrivite care să dea garanţia securităţii sistemelor bancare cu acces de la distanţă.

Scopul avizului îl constituie verificarea îndeplinirii de către sistemul informatic al băncii şi de către soluţia software, prin intermediul cărora instrumentul de plată cu acces la distanţă este oferit, a unor cerinţe minime de securitate, referitoare la:

a) confidenţialitatea şi integritatea comunicaţiilor;

b) confidenţialitatea şi nonrepudierea tranzacţiilor;

c) confidenţialitatea şi integritatea datelor;

d) autenticitatea părţilor care participă la tranzacţii;

e) protecţia datelor cu caracter personal;

f) păstrarea secretului bancar;

g) trasabilitatea tranzacţiilor;

h) continuitatea serviciilor oferite clienţilor;

i) împiedicarea, detectarea şi monitorizarea accesului neautorizat în sistem;

j) restaurarea informaţiilor gestionate de sistem în cazul unor calamităţi naturale, evenimente imprevizibile;

k) gestionarea şi administrarea sistemului informatic;

l) orice alte activităţi sau măsuri tehnice întreprinse pentru exploatarea în siguranţă a sistemului.

Documentaţia necesară pentru eliberarea avizului se depune la MCTI în fiecare an în perioada 1 aprilie – 30 iunie a fiecărui an şi cuprinde:

a) cerere adresată în acest scop MCTI;

b) licenţa de funcţionare a băncii, acordată de BNR;

c) descrierea funcţională a sistemului informatic prin intermediul căruia este oferit instrumentul de plată cu acces la distanţă;

d) planul de securitate al sistemului informatic, semnat de către emitent, cuprinzând totalitatea măsurilor tehnice şi organizatorice prevăzute pentru asigurarea cerinţelor de securitate ale instrumentului electronic;

e) certificări din punct de vedere al securităţii asupra soluţiei informatice sau produselor conţinute în aceasta, emise de organizaţii naţionale sau internaţionale recunoscute, acolo unde există;

f) opinia de audit asupra planului de securitate şi a soluţiei informatice prin intermediul căreia este oferit instrumentul de plată cu acces la distanţă;

g) o declaraţie în care este exprimată independenţa auditorului faţă de sistemul informatic auditat.

In urma analizării documentaţiei prezentate, în termen de 15 zile calendaristice de la data înregistrării acesteia la Secretariatul de Stat pentru Tehnologia Informaţiei, MCTI comunică băncii solicitante decizia sa cu privire la acordarea avizului şi va notifica Banca Naţională a României în legătură cu aceasta. După eliberarea avizului, în termen de 3 zile calendaristice, Ministerul va remite solicitantului un exemplar al avizului.

Asupra documentaţiei specifice instrumentului de plată electronică şi asupra aplicaţiilor informatice care stau la baza sa, din punct de vedere hardware şi software, sunt necesare activităţi de auditare. Auditorii trebuie să deţină certificarea CISA Certified Information Systems Auditor, emisă de ISACA13 Information Systems Audit and Control Association.

Societăţile bancare sunt nevoite să apeleze la auditori independenţi certificaţi în domeniul securităţii informatice. Activitatea acestor auditori presupune în efectuarea unor misiuni de audit, următoarele:



  • verificarea documentelor utilizate de bănci;

  • verificarea procedurilor utilizate;

  • studierea dovezilor că procedurile stabilite de către bancă sunt folosite şi că nu sunt numai pe hârtie;

  • verificarea modului de implementare a tehnologiei suport a respectivelor aplicaţii şi dacă software-ul este corect configurat;

  • teste de penetrare a sistemului aplicaţiilor bancare la distanţă, în vederea verificării securităţii14.

La cererea expresă a MCTI, precum şi în cazul opiniilor de audit exprimate cu rezerve, băncile sunt obligate să pună la dispoziţie Raportul de audit, rezultat în urma auditării sistemului. Pentru cazurile în care sistemul informatic prin intermediul căruia este oferit instrumentul de plată cu acces la distanţă, este situat în afara ţării, auditarea sistemului se va face prin una dintre următoarele metode:

- auditorul român va audita sistemele din străinătate sau

- auditorul român agreează auditarea sistemului din străinătate de către personal cu calificare similară din acea ţară sau

- auditorul român îşi va baza atestatul pe documente/atestate emise în ţara în care rulează sistemul şi care au un grad de asigurare corespunzător.

Fiecare societate bancară care emite instrumente bancare cu acces la distanţă trebuie să dispună de un Plan de securitate în legătură cu instrumentele electronice, plan care trebuie expus Ministerului Comunicaţiilor şi Tehnologiei Informaţiilor. O structură minimală a Planului cuprinde:

1. Informaţii de identificare:

a) emitentul instrumentului de plată cu acces la distanţă;

b) denumirea instrumentului de plată cu acces la distanţă;

c) provenienţa instrumentului de plată cu acces la distanţă;

d) categoria (Internet, home sau mobile-banking);

e) statutul operaţional al sistemului prin intermediul căruia este oferit instrumentul de plată cu acces la distanţă şi anul intrării în producţie;

f) descrierea generală a soluţiei tehnice;

g) consideraţii specifice;

h) interconectarea sistemului;

i) aria geografică în care instrumentul de plată cu acces la distanţă poate fi utilizat;

j) datele de contact ale persoanelor responsabile;

2. Senzitivitatea sistemului:

a) legislaţia aplicabilă;

b) descrierea generală a senzitivităţii informaţiilor gestionate de către sistem;

3. Măsuri pentru securitatea sistemului:

a) evaluarea şi managementul riscurilor potenţiale;

b) codurile de conduită/condiţiile de utilizare/contractul prin care instrumentul de plată cu acces la distanţă este oferit;

c) rapoarte de testare;

d) măsurile tehnice de securitate implementate;

e) procedurile operaţionale de exploatare;

f) măsurile aplicate pentru asigurarea securităţii fizice;

g) instruirea personalului propriu al emitentului în legătură cu administrarea sistemului informatic;

h) instrucţiunile de utilizare a instrumentului de plată cu acces la distanţă (manual de utilizare oferit clienţilor);

i) suportul tehnic oferit de către emitent clienţilor care utilizează instrumentul de plată cu acces la distanţă;



4. Orice alte informaţii relevante legate de măsurile luate de către emitent pentru a asigura exploatarea în siguranţă a instrumentului de plată cu acces la distanţă.
I.8 Semnătura electronică utilizată în accesarea serviciilor bancare la distanţă
Societăţile bancare pot utiliza în relaţiile lor cu clienţii care accesează servicii bancare cu acces la distanţă, facilităţile oferite de semnătura electronică.

În România, semnătura electronică este legiferată de Legea nr. 455/2001 privind semnătura electronică15 şi de Hotărârea Guvernului nr. 1259/2001 privind aprobarea Normelor tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică16.

Clienţii apelează la semnătura electronică pentru a proba băncii identitatea lor atunci când accesează servicii bancare electronice. Semnătura electronică asociază documentul electronic persoanei care îl semnează. Cu ajutorul semnăturii electronice pot fi semnate documente tip WORD, PDF, e-mail-uri etc. Semnătura electronică extinsă are aceeaşi valoare în spaţiul virtual ca şi semnătura manuscrisă în lumea reală.

Semnătura electronică nu este o semnătura scanată, nu este o poză, nu este o hologramă şi nici un smart card.



Semnătura electronică desemnează o succesiune de biţi, adică un set de date în formă electronică, care sunt asociate sau logic asociate cu alte date în formă electronică şi care servesc ca metodă de identificare.

Semnătura electronică extinsă este considerată semnătura electronică care îndeplineşte cumulativ următoarele condiţii:

- este legată în mod unic de semnatar

- asigură identificarea semnatarului

- este creată prin mijloace controlate exclusiv de semnatar

- este legată de datele în formă electronică, la care se raportează în aşa fel încât orice modificare ulterioară a acestora este identificabilă.

Doar semnătura electronică extinsă are valoare probantă în justiţie. 



Poate să semneze electronic orice persoană care, în baza unui contract încheiat cu un furnizor de servicii de certificare, deţine o pereche funcţională cheie publică / cheie privată şi are o identitate probată printr-un certificat digital emis de acel furnizor.

Perechea cheie publică / cheie privată reprezintă un cod digital cu caracter de unicitate, generat printr-un dispozitiv hardware şi/sau software specializat. Cheia publică este un cod digital, perechea cheii private necesară verificării semnăturii electronice. Cheia privată reprezintă datele de creare a semnăturii electronice, iar cheia publică - datele de verificare ale acesteia. Cheia privată nu poate fi dedusă în nici un fel din cheia sa publică pereche.

Pentru a putea semna electronic este necesară o succesiune de etape:  

1. Persoana interesată să semneze electronic documente trebuie să se prezinte cu cartea de identitate sau buletinul (pentru persoane fizice) sau cu elemente de identificare ale companiei (pentru persoane juridice) la un furnizor de servicii de certificare în domeniul semnăturii electronice. Furnizorul de servicii de certificare joacă rolul unui martor virtual care confirmă identitatea unei persoane.

2. Furnizorul de servicii de certificare eliberează clientului un dispozitiv securizat, necesar pentru a putea semna electronic, ca, spre exemplu, eToken sau smart card. Pentru a accesa astfel de dispozitive se tastează un cod PIN, pe care clientul îl poate schimba şi care e cunoscut doar de client. eToken-ul, smart card-ul sau orice alt dispozitiv specializat conţine un microprocesor care generează cele două chei: publică şi privată.

3. Dispozitivul securizat se poate conecta la orice calculator. Pentru obţinerea propriu-zisă a certificatului digital, clientul accesează site-ul furnizorului de servicii de certificare şi completează un formular pentru obţinerea certificatului digital. Clientul primeşte prin e-mail un cod de identificare care îi permite eliberarea certificatului digital.

Certificatul digital atestă dreptul unei persoane de a se semna electronic şi conţine:

- cheia publică a persoanei;

- datele personale ale persoanei.

Certificatul digital emis de către furnizorul de servicii de certificare este semnat electronic de către furnizorul de servicii de certificare, cu cheia lui privată. Certificatul digital leagă persoana de cheia publică. Certificatul digital este disponibil pentru accesare pe site-ul furnizorului de servicii de certificare.



Durata valabilităţii unui certificat este de maximum 1 an de la data comunicării către client.

Certificatul digital reprezintă o colecţie de date în formă electronică ce atestă legătura dintre datele de verificare a semnăturii electronice şi o persoană, confirmând identitatea acelei persoane.

Mecanismul creării propriu-zise a semnăturii electronice presupune următoarea succesiune de etape:

1. Asupra unui document care se intenţionează a fi semnat electronic se aplică un algoritm şi se obţine amprenta documentului;

2. Amprenta documentului este o înşiruire de biţi;

3. Amprenta documentului intră în dispozitivul securizat;

4. Printr-un alt algoritm se aplică cheia privată peste amprenta documentului, rezultând semnătura electronică.

Cheia privată rămâne în memoria eTokenului, nu părăseşte niciodată dispozitivul, aşadar poate să fie utilizată doar de posesorul dispozitivului.

Cum verifică banca semnătura electronică a unui client? Documentul semnat electronic este transmis prin Internet spre banca destinatară, care are posibilitatea să verifice dacă, într-adevăr, clientul a semnat acel document.

Mecanismul de verificare a semnăturii electronice se bazează pe utilizarea cheii publice, a unui algoritm de calcul şi a semnăturii electronice primite. Verificarea semnăturii este o operaţie automată.



Spre deosebire de cheia privată care este cunoscută doar de semnatar, cheia publică poate să fie aflată de toţi cei care primesc mesajele dvs. dacă accesează site-ul furnizorului de servicii de certificare în domeniul semnăturii electronice.

În acest fel se pot consulta datele din certificatul digital de care clientul dispune, verificând identitatea expeditorului.



Semnătura electronică se creează cu ajutorul cheii private şi se verifică prin cheia publică. 

În domeniul semnăturii electronice există un concept de non repudiere. Ansamblul „persoană - cheie publică - cheie privată” garantează non repudierea, adică semnatarul documentului nu poate să respingă faptul că acel document a fost semnat electronic de el însuşi.

  

I.9 Securitatea în sistemele de servicii bancare la distanţă
Studierea securităţii serviciilor bancare electronice nu se poate disocia de securitatea specifică tuturor serviciilor şi activităţilor unei bănci. În comparaţie cu serviciile bancare clasice, cele electronice sunt expuse unor riscuri sporite de acces neautorizat în sistemul băncii sau modificări frauduloase ale informaţiilor vehiculate prin intermediul serviciilor electronice. Astfel de riscuri rezidă din faptul că serviciile bancare electronice presupun transferul de informaţii între clienţi şi bancă prin canale neconvenţionale – reţeaua Internet, reţelele de telefonie mobilă, conectări la serverele băncii etc.

Informaţiile vehiculate prin intermediul serviciilor bancare cu acces de la distanţă pot fi interceptate de către persoane rău intenţionate care le pot utiliza în scopul deturnării de fonduri din conturile clienţilor sau în alte moduri frauduloase. Împotriva unor astfel de riscuri, băncile îşi iau măsuri de securitate.



Eventualele suspiciuni ce ar putea exista în legătură cu confidenţialitatea datelor ce circulă prin sistemele electronice cu acces de la distanţă, sunt înlăturate prin facilităţile de criptare, certificare şi autentificare electronică, utilizând algoritmi de criptare bazaţi pe chei publice şi chei private.

În cazul serviciilor de Internet banking, fiecărui utilizator al sistemului i se alocă de către bancă un identificator unic de client. La lansarea sistemului, utilizatorii trebuie să specifice o parolă de acces, după care, la fiecare operaţie efectuată, utilizatorul se identifică prin nume şi parolă, acestea servind şi la stabilirea tipurilor de drepturi specifice modulului funcţional. Accesul unui client la serverul web al băncii se realizează securizat în trei trepte. În ceea ce priveşte securizarea comunicării între client şi bancă, aceasta se bazează pe autentificare bidirecţională prin certificate digitale, obţinându-se astfel cel mai înalt nivel de securizare a transmiterii informaţiilor practicat în reţeaua Internet (nivelul 3 de securitate). În plus, orice operaţiune transmisă de client va fi supusă unui număr succesiv de verificări, înaintea procesării de către bancă. Mai întâi, criptarea şi autentificarea datelor transmise este realizată printr-un protocol, care va utiliza certificate electronice din partea clienţilor. Obţinerea şi instalarea unor certificate electronice se realizează prin interfeţe web dedicate şi unele autorităţi de certificate instalate pe serverul web al băncii. Al doilea nivel de securitate este conferit de un login şi o parolă de acces la serverul băncii, care va stoca informaţiile introduse de clienţi. Clientul va putea primi un login dedicat, urmând ca modificarea parolei să se facă numai de acesta, astfel încât nimeni din personalul băncii nu va putea cunoaşte parola unui client. Pentru evitarea accesului temporar neautorizat la o staţie de lucru a clientului, serverul va furniza întotdeauna browser-ului pagini web, cu expirare imediată şi va întrerupe automat conexiunea cu serverul SQL după o perioadă relativ mică de inactivitate. După autentificarea parolei de acces, există autentificările de back office.

Sistemele de tip e-banking fiind de fapt, aplicaţii client / server, au, prin urmare două mari componente: componenta Client instalată pe calculatorul clientului şi componenta Server programul instalat pe serverul e-banking al băncii, care conduce întregul sistem. Acest calculator este conectat în reţeaua de calculatoare internă a băncii şi realizează schimburi de informaţii cu sistemul de baze de date de pe serverul central al acesteia. Toate procedurile de securitate aplicabile băncii sunt valabile şi pentru datele stocate în calculatoarele ce procesează informaţia provenită din serviciile bancare electronice. Componenta Server a băncii asigură securitatea sistemului prin controlul accesului la baza de informaţii de pe server pe baza unei „Liste de control a accesului” (ACL). Aceasta permite ca fiecare client (identificat prin cheia privată şi parolă) să nu aibă acces decât la informaţiile proprii din baza de informaţii de pe server. De asemenea, serverul băncii validează şi autentifică cererile de replicare de la clienţi. De fiecare dată când un client încearcă să comunice de la distanţă cu banca pentru replicare, sistemul informatic al băncii (componenta serviciului electronic) activează automat două proceduri de securitate: una de validare, care stabileşte veridicitatea cheii publice a clientului şi, dacă validarea are loc, se lansează o a doua procedură, numită autentificare, care foloseşte cheile publice şi private ale clientului şi serverului serviciului electronic.

Yüklə 328,43 Kb.

Dostları ilə paylaş:
1   2   3   4   5   6   7



Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©muhaz.org 2024
rəhbərliyinə müraciət
gir | qeydiyyatdan keç
    Ana səhifə
Dərs
Dərslik
Guide
Kompozisiya
Mücərrəd
Mühazirə
Qaydalar
Referat
Report
Request
Review

yükləyin