В Узбекистане ужесточили правила работы банковских приложений и P2P-переводов

В Узбекистане утвердили положение о минимальных требованиях к кибербезопасности и предотвращению фрода при оказании дистанционных финансовых услуг. Об этом свидетельствует постановление правления Центрального банка.

Требования к регистрации и авторизации

Кредитные и платежные организации обязаны внедрить жесткую проверку при регистрации пользователей. Теперь система должна автоматически сопоставлять номер телефона клиента с его персональным идентификационным номером (ПИНФЛ). Если данные не совпадут, привязка карты или создание аккаунта будут заблокированы.

Для усиления защиты вводятся новые стандарты одноразовых паролей (OTP):

• Длина кода должна составлять не менее 6 символов.

• Комбинация обязана содержать цифры и латинские буквы.

• Срок действия пароля ограничен 59 секундами.

• После 3 неверных попыток ввода доступ к операциям ограничивается на 15 минут.

Вход в существующий аккаунт с нового устройства, восстановление пароля или привязка новой карты теперь возможны только после прохождения биометрической идентификации. При входе с чужого гаджета система обязана автоматически сбросить все ранее привязанные карты и удалить историю операций на этом устройстве.

Ограничения для денежных переводов

Правила проведения P2P-переводов стали более строгими. Финансовым организациям запрещено предоставлять услугу перевода средств между картами через веб-сайты — такие операции теперь допустимы только в мобильных приложениях.

Пользователям разрешается привязывать к своему аккаунту только собственные карты или счета близких родственников (родителей, супругов, детей, братьев и сестер). Любая транзакция должна подтверждаться одноразовым кодом, который будет работать только на том устройстве, где авторизован владелец. Перед подтверждением платежа приложение обязано показать уведомление, чтобы клиент самостоятельно подтвердил отсутствие давления со стороны мошенников.

Техническая защита и блокировки

Мобильные приложения финансовых институтов получат механизмы автоматического контроля среды. Работа сервиса будет немедленно прекращена, если на смартфоне обнаружены:

• Признаки взлома системы (Root или Jailbreak).

• Активные сеансы удаленного управления устройством.

• Запущенные аудио- или видеозвонки, в том числе через мессенджеры.

Сессия пользователя в приложении или его веб-версии должна автоматически завершаться после 3 минут бездействия. Для защиты данных организации обязаны внедрить системы предотвращения утечек (DLP), инструменты для контроля привилегированного доступа (PAM) и защиту приложений в реальном времени (RASP). Все логи и записи о технических процессах должны храниться в зашифрованном виде не менее 3 лет.