Банк России ужесточил требования к защите карточных платежей, введя новые стандарты для криптозащиты. Теперь устройства и карты должны использовать только сертифицированные российские алгоритмы и обеспечивать многоуровневую защиту на всех этапах жизни. Какие изменения ждут рынок?
Банк России опубликовал обновленные требования к аппаратным и программным решениям, обеспечивающим криптографическую защиту в инфраструктуре значимых карточных платежных систем.
Документ определяет новые стандарты для разработчиков и операторов таких систем. Под действие требований попадают:аппаратные модули безопасности (HSM) платежные терминалы и устройства с терминальным ядром банкоматы платежные карты другие технические средства, использующие криптографические механизмы.
Новые нормы призваны заменить подходы, действовавшие с 2020 года, и учитывают актуальные риски, связанные с переводом денежных средств. Особое внимание уделяется использованию отечественных криптографических средств защиты информации (СКЗИ), прошедших сертификацию ФСБ России. Иностранные криптографические решения, не соответствующие российским стандартам, не подпадают под действие документа. Ключевые аспекты требований: Применение российских криптоалгоритмовКриптографические механизмы должны соответствовать национальным стандартам или иметь положительное заключение ФСБ России. Допускается использование отдельных международных алгоритмов только при обеспечении совместимости и отсутствии влияния на работу отечественных СКЗИ. Защита на всех этапах жизненного циклаПроизводители обязаны обеспечить безопасность устройств на всех стадиях - от разработки и производства до транспортировки, ввода в эксплуатацию и утилизации.
Требуется реализация двойного контроля, защищённой упаковки, контроля целостности и ведение журналов событий. Аутентификация и управление ключамиДля доступа к устройствам предусмотрена многофакторная аутентификация, включая криптографические методы. Управление ключами должно исключать возможность компрометации без сговора минимум двух лиц. Также обязательна поддержка доверенного уничтожения ключевой информации. Инженерно-криптографическая защитаУстройства должны быть устойчивы к атакам, включая попытки несанкционированного доступа, перехвата данных и физического воздействия. Реализованы механизмы самодиагностики, контроля температурных и других рабочих параметров, а также автоматической очистки буферов после завершения операций. Документация и прозрачностьПроизводители обязаны предоставлять подробные руководства по эксплуатации, включая описание функций, процедур управления ключами, административных действий и действий при срабатывании защитных механизмов. Все программные и аппаратные компоненты должны быть верифицированы и не содержать скрытых функций. Обновление должно повысить уровень защиты транзакций в карточных платежных системах, стимулировать импортозамещения в области криптографических технологий, а также унифицировать требования к разработке и эксплуатации защищённых платежных устройств.
Свежие комментарии