Geekly articles weekly

Analisis dokumen peraturan tentang perlindungan informasi di sektor kredit dan keuangan Rusia

Dalam publikasi sebelumnya, kami memeriksa dasar - dasar keamanan informasi, membahas undang-undang di bidang perlindungan data pribadi dan infrastruktur informasi penting , dan juga menyentuh topik keamanan informasi di lembaga keuangan menggunakan standar GOST R 57580 .

Sekarang giliran untuk memeriksa lebih detail norma-norma undang-undang Rusia saat ini di bidang keuangan. Regulator utama dalam industri ini adalah Bank Sentral Federasi Rusia, yang secara teratur menerbitkan dokumen perlindungan informasi terbaru di lembaga keuangan yang memenuhi tantangan dunia maya modern. Selain itu, Bank Sentral Federasi Rusia secara aktif bekerja dengan warga dan organisasi: konferensi diadakan dengan partisipasi perwakilan dari Bank Sentral, laporan dan peringatan FinCERT diterbitkan , penjelasan diberikan pada implementasi persyaratan peraturan. Publikasi ini akan dikhususkan untuk analisis dokumen yang relevan tentang melindungi informasi di bidang kredit dan keuangan. Jadi mari kita mulai.

gambar

Di lembaga kredit dan keuangan, masalah perlindungan data sangat relevan karena faktanya Anda sering dapat memasang tanda identitas antara informasi dan uang. Masalah kerahasiaan data klien, integritas pesanan pembayaran, akses ke layanan perbankan lebih akut dari sebelumnya di era digital kita. Mengingat persaingan yang mengesankan dan keragaman produk perbankan, kesetiaan pelanggan (baik individu maupun badan hukum) sangat dihargai, dan keamanan pembayaran serta kerahasiaan informasi yang diberikan kepada bank merupakan salah satu faktor terpenting dari pilihan. Selain tujuan yang jelas dan dapat dipahami untuk melakukan pembayaran kepada banyak orang, sistem perbankan sebenarnya berfungsi sebagai "sistem peredaran darah" ekonomi seluruh negara, dan inilah mengapa entitas sektor perbankan (organisasi kredit yang penting secara sistemik, operator sistem pembayaran, secara sistemik, adalah subyek dari infrastruktur informasi penting Federasi Rusia) organisasi infrastruktur yang signifikan dari pasar keuangan).

Menurut data yang diberikan oleh Pusat Pemantauan dan Menanggapi Serangan Komputer di Lingkungan Kredit dan Keuangan Bank Rusia (FinCERT / FinCERT), pada tahun 2018 volume transaksi kartu yang tidak sah berjumlah 1,4 miliar rubel, dan jumlah rata-rata satu transaksi tidak sah adalah 3 , 32 ribu rubel Bagi banyak bank, risiko dunia maya telah menjadi salah satu faktor paling penting yang menghambat perkembangan, dan kerusakan dari kejahatan dunia maya, termasuk kerusakan reputasi, telah lama melampaui risiko perampokan "klasik". Selain itu, Bank Sentral Federasi Rusia dalam Rancangannya “Ketentuan tentang Persyaratan untuk Sistem Manajemen Risiko Operasional” termasuk risiko keamanan informasi dan sistem informasi dalam daftar risiko operasional yang harus diperhitungkan ketika mengelola modal organisasi keuangan.

Respons logis terhadap tantangan dunia maya pada zaman kita adalah serangkaian inisiatif oleh kepemimpinan negara, sesuai dengan tindakan hukum pengaturan yang diadopsi untuk mengatur bidang keamanan informasi di lembaga keuangan Federasi Rusia. Regulator utama sektor keuangan Rusia adalah Bank Rusia. Tujuan Bank Sentral Federasi Rusia dalam hal keamanan informasi adalah untuk memastikan kestabilan dunia maya (dengan memantau indikator risiko untuk implementasi ancaman informasi, memastikan kelangsungan penyediaan layanan keuangan dan perbankan, memantau tingkat transaksi penipuan), melindungi konsumen dari layanan keuangan (dengan memantau dan mengendalikan indikator yang menjadi ciri tingkat kerugian finansial) , serta mempromosikan pengembangan teknologi keuangan yang inovatif (dengan mengendalikan risiko implementasi ancaman informasi dan implementasi diperlukan tingkat keamanan informasi).

Undang-Undang Federal No. 161 “Tentang Sistem Pembayaran Nasional”


Dokumen utama yang mengatur perlindungan informasi di bank-bank Rusia adalah Undang-Undang Federal No. 161 tanggal 27 Juni 2011 tentang Sistem Pembayaran Nasional. Dokumen ini terus diperbarui dan diubah, tetap relevan dengan munculnya ancaman dan tantangan baru. Artikel utama 161-FZ yang secara langsung dikhususkan untuk perlindungan informasi adalah seni. 27 "Memastikan perlindungan informasi dalam sistem pembayaran", serta Seni. 28 "Sistem manajemen risiko dalam sistem pembayaran" (klausa 3.11 yang secara langsung berbicara tentang perlunya menentukan prosedur untuk melindungi informasi dalam sistem pembayaran). Berdasarkan Art. 2, klausul 3 dari Undang-Undang Federal ini, Bank Rusia telah mengembangkan anggaran rumah tangga untuk mengatur hubungan dalam sistem pembayaran nasional, yang akan kita bahas dalam publikasi ini dan selanjutnya.

Pertama-tama, perlu untuk membiasakan diri dengan istilah dasar dan definisi yang digunakan oleh regulator yang diwakili oleh Bank Rusia ketika membahas masalah IS di sektor keuangan. Jadi

  • Sistem pembayaran nasional adalah kumpulan dari operator pengiriman uang (termasuk operator uang elektronik), agen pembayaran bank (subagen), agen pembayaran, organisasi pos federal ketika mereka menyediakan layanan pembayaran, operator sistem pembayaran, operator layanan infrastruktur pembayaran, operator layanan pembayaran, operator layanan pertukaran informasi, pemasok asing layanan pembayaran, operator sistem pembayaran asing, pemasok aplikasi pembayaran (subjek pembayaran nasional Sistem Nuh);
  • operator pengiriman uang adalah organisasi yang, sesuai dengan undang-undang Federasi Rusia, memiliki hak untuk mentransfer uang;
  • operator uang elektronik adalah operator transfer uang yang mentransfer uang elektronik tanpa membuka rekening bank (transfer uang elektronik);
  • Agen pembayaran bank - badan hukum yang bukan lembaga kredit, atau pengusaha perorangan, yang terlibat dalam lembaga kredit untuk melakukan operasi perbankan tertentu;
  • Subagen pembayaran bank - badan hukum yang bukan lembaga kredit, atau pengusaha perorangan, yang dilibatkan oleh agen pembayaran bank untuk melakukan operasi perbankan tertentu;
  • operator sistem pembayaran adalah organisasi yang menentukan aturan sistem pembayaran, serta memenuhi kewajiban lain yang ditetapkan dalam 161-;
  • operator layanan infrastruktur pembayaran - pusat operasi, pusat kliring pembayaran, dan pusat penyelesaian;
  • Pusat Operasi - organisasi yang menyediakan akses ke layanan pengiriman uang, termasuk menggunakan alat pembayaran elektronik, serta pesan elektronik, dalam sistem pembayaran untuk peserta dalam sistem pembayaran dan pelanggan mereka;
  • sistem pembayaran adalah seperangkat organisasi yang berinteraksi sesuai dengan aturan sistem pembayaran dengan maksud untuk mentransfer dana, termasuk operator sistem pembayaran, penyedia layanan infrastruktur pembayaran dan peserta sistem pembayaran, di mana setidaknya tiga organisasi adalah operator pengiriman uang;
  • Penyedia aplikasi pembayaran - badan hukum, termasuk organisasi asing, yang menyediakan, berdasarkan perjanjian dengan operator pengiriman uang, aplikasi pembayaran untuk digunakan oleh pelanggan dari operator pengiriman uang.

Sesuai dengan Seni. 27 161-, operator transfer uang, agen pembayaran bank (subagen), penyedia layanan pertukaran informasi, penyedia aplikasi pembayaran, operator sistem pembayaran, penyedia layanan infrastruktur pembayaran diperlukan untuk memastikan perlindungan informasi ketika melakukan transfer uang sesuai dengan persyaratan yang ditetapkan dalam Peraturan Bank Rusia tanggal 09.06.2012 No. 382-P “Mengenai persyaratan untuk memastikan perlindungan informasi ketika melakukan transfer uang dan tentang prosedur bagi Bank Rusia untuk melakukan memantau kepatuhan dengan persyaratan untuk perlindungan informasi saat melakukan transfer uang. ” Selain itu, operator transfer uang, operator sistem pembayaran, operator layanan infrastruktur pembayaran berkewajiban untuk mengirim informasi ke Bank Rusia tentang semua kasus dan (atau) upaya untuk melakukan transfer uang tanpa persetujuan klien, dapat menerima informasi dari Bank Rusia yang terdapat dalam database tentang kasus dan upaya untuk melakukan pengiriman uang tanpa persetujuan klien, dan juga diwajibkan untuk menerapkan langkah-langkah untuk menangkal pelaksanaan transfer uang tanpa persetujuan klien dengan cara yang ditentukan oleh Ordonansi Bank Rusia No. 4926-U dari 08.10.2018 “Tentang Formulir dan Prosedur untuk mengirim informasi oleh operator pengiriman uang, operator sistem pembayaran, penyedia layanan infrastruktur pembayaran kepada Bank Rusia tentang semua kasus dan (atau) upaya untuk melakukan transfer uang dana tanpa persetujuan klien dan tanda terima mereka dari Bank Rusia dari informasi yang terkandung dalam database kasus dan upaya untuk melakukan transfer uang tanpa persetujuan klien, serta tentang prosedur bagi operator transfer untuk mengimplementasikan dana enezhnyh, operator sistem pembayaran, infrastruktur pembayaran jasa operator langkah-langkah untuk mentransfer kontra uang tanpa persetujuan dari klien. " Dengan kata lain, Ordonansi No. 4926-U mendefinisikan bentuk, prosedur, dan isi pesan yang dikirim oleh organisasi keuangan ke FinCERT Bank Sentral Federasi Rusia. Pada saat yang sama, Bank Sentral sendiri menciptakan dan memelihara database kasus dan upaya untuk melakukan transfer uang tanpa persetujuan klien.

Peraturan Bank Rusia No. 382-P "Mengenai persyaratan untuk memastikan perlindungan informasi ketika melakukan transfer uang ..."


Berdasarkan standar untuk perlindungan informasi yang ditentukan dalam 161-FZ, Peraturan Bank Rusia No. 382-P dari 06/09/2012 dikembangkan tentang persyaratan untuk memastikan perlindungan informasi ketika melakukan transfer uang dan pada prosedur untuk Bank Rusia untuk memantau kepatuhan terhadap persyaratan untuk memastikan perlindungan informasi ketika melakukan transfer uang. " Sesuai dengan dokumen ini, subjek regulasi dan kontrol di pihak Bank Rusia adalah operator transfer uang, agen pembayaran bank (subagen), operator sistem pembayaran, operator layanan infrastruktur pembayaran. Objek perlindungan adalah kategori informasi proses berikut:

  • informasi tentang saldo kas di rekening bank;
  • informasi tentang saldo kas elektronik;
  • informasi tentang transfer uang yang telah selesai;
  • informasi yang terkandung dalam pesanan yang dijalankan pelanggan, peserta sistem pembayaran, pusat kliring pembayaran;
  • informasi tentang posisi kliring pembayaran;
  • informasi pelanggan dan data pemegang kartu;
  • informasi kunci sarana perlindungan informasi kriptografi (CPSI);
  • informasi tentang konfigurasi fasilitas infrastruktur informasi dan peralatan keamanan informasi;
  • informasi akses terbatas, termasuk data pribadi dan informasi lainnya yang tunduk pada perlindungan wajib sesuai dengan undang-undang Federasi Rusia.

Persyaratan utama untuk perlindungan informasi ketika mentransfer dana ke lembaga keuangan, sebagaimana diatur dalam 382-P, adalah:

  • penunjukan dan distribusi hak akses untuk karyawan lembaga keuangan;
  • perlindungan informasi di semua tahap siklus hidup objek infrastruktur informasi (penciptaan, operasi, modernisasi, dekomisioning);
  • perlindungan informasi ketika mengakses fasilitas infrastruktur informasi, termasuk dari akses tidak sah (NSD);
  • perlindungan terhadap kode berbahaya;
  • perlindungan informasi ketika mentransfer dana melalui Internet;
  • perlindungan informasi saat menggunakan ATM dan terminal pembayaran;
  • perlindungan informasi saat menggunakan kartu pembayaran;
  • perlindungan informasi menggunakan perlindungan informasi kriptografi;
  • perlindungan teknologi pemrosesan informasi saat mentransfer dana;
  • pembuatan layanan keamanan informasi, termasuk di cabang;
  • melakukan kelas peningkatan kesadaran di bidang keamanan informasi untuk karyawan organisasi keuangan;
  • pengembangan dan implementasi langkah-langkah organisasi untuk memastikan perlindungan informasi (ZI);
  • penilaian kepatuhan dengan persyaratan untuk ZI;
  • pemenuhan oleh operator sistem pembayaran dari persyaratan ZI yang ditentukan kepadanya oleh operator transfer uang atau operator layanan infrastruktur pembayaran;
  • meningkatkan sistem ZI ketika mentransfer dana;
  • mengidentifikasi, menganalisis penyebab terjadinya dan menanggapi insiden IS terkait dengan pelanggaran persyaratan untuk menyediakan ZI saat mentransfer dana.

Pada saat yang sama, insiden tersebut harus mencakup peristiwa yang dapat menyebabkan transfer dana tidak sah atau kegagalan untuk menyediakan layanan transfer uang. Peristiwa semacam itu dapat dimasukkan dalam daftar jenis insiden yang disepakati dengan FSB Federasi Rusia dan dipublikasikan di situs web Bank Sentral Federasi Rusia. Saat ini, informasi ini belum dipublikasikan, tetapi Anda dapat dipandu oleh jenis insiden yang tercantum dalam Standar Rusia Bank STO BR BFBO-1.5-2018 “Keamanan operasi keuangan (perbankan). Manajemen Insiden Keamanan Informasi ", serta dalam" Pedoman untuk bekerja dengan sistem pemrosesan insiden otomatis (ASOI) dari FinCERT Bank of Russia "(selanjutnya, jenis insiden terdaftar dengan pengidentifikasi mereka yang digunakan dalam kedua dokumen):

  • Penggunaan malware [malware];
  • Menggunakan metode rekayasa sosial [socialEngineering];
  • Perubahan IMSI pada kartu SIM, ubah telepon IMEI [sim];
  • Menggunakan sumber daya phishing [phishingAttacks];
  • Penempatan konten yang dilarang di Internet [konten terlarang];
  • Hosting sumber daya berbahaya di Internet [maliciousResources];
  • Ubah informasi perutean dan alamat [trafficHijackAttacks];
  • Penggunaan malware [malware];
  • Penolakan Layanan [ddosAttacks];
  • Implementasi akses tidak sah ke ATM dan terminal pembayaran [atmAttacks];
  • Eksploitasi kerentanan infrastruktur informasi [kerentanan];
  • Kompromi otentikasi / kredensial [bruteforce];
  • Implementasi spam mailing [spam];
  • Interaksi dengan pusat botnet [controlCenters];
  • Menggunakan sumber daya phishing [phishingAttacks];
  • Penempatan konten yang dilarang di Internet [konten terlarang];
  • Hosting sumber daya berbahaya di Internet [maliciousResources];
  • Eksekusi perubahan konten [changeContent];
  • Melakukan pemindaian port [scanPort];
  • Serangan komputer lain [lainnya].

Teks 382-P memberikan perincian persyaratan di atas untuk melindungi informasi saat mentransfer dana. Harus dicatat norma-norma seperti identifikasi, otentikasi dan otorisasi orang yang bekerja dengan infrastruktur informasi dan pendaftaran tindakan karyawan dan pelanggan (volume informasi yang direkam dan periode penyimpanan lima tahun ditentukan), penerapan prinsip-prinsip meminimalkan otoritas (hanya menyediakan hak akses minimum yang diperlukan untuk melakukan resmi tugas) dan kontrol ganda (larangan kinerja tindakan kritis oleh satu karyawan), keterlibatan karyawan layanan keamanan informasi Saat membuat atau memodernisasi fasilitas infrastruktur informasi. Selain itu, untuk transfer uang, perangkat lunak aplikasi yang disertifikasi oleh FSTEC Rusia untuk kepatuhan dengan persyaratan keamanan informasi, termasuk persyaratan untuk analisis kerentanan dan kontrol tidak adanya NDV, atau menjalani analisis kerentanan sesuai dengan persyaratan untuk tingkat kepercayaan yang diperkirakan tidak lebih rendah dari OUD-4 di sesuai dengan persyaratan standar GOST R ISO / IEC 15408-3-2013. Perhatikan bahwa estimasi tingkat kepercayaan (OUD) standar GOST R ISO / IEC 15408-3-2013 tidak boleh dikacaukan dengan tingkat kepercayaan (UD) SIS yang ditentukan sesuai dengan Pesanan FSTEC Federasi Rusia No. 131 tanggal 30 Juli 2018 (kami berbicara tentang dokumen ini sebelumnya ).

382-P juga memuat persyaratan untuk melakukan pengujian penetrasi tahunan (uji-pena) dan analisis kerentanan fasilitas infrastruktur TI, yang harus dilibatkan oleh organisasi pihak ketiga, pemegang lisensi FSTEC Rusia.

Paragraf terpisah 382-P dikhususkan untuk prinsip-prinsip melindungi sistem perbankan Internet, termasuk yang mobile: menerbitkan instruksi pengguna untuk penggunaannya, memeriksa malware dan kontrol integritas, menggunakan kode konfirmasi akses satu kali, menempatkannya dalam repositori yang andal, mencari kerentanan, dan memperbarui tepat waktu. Metode untuk menangani serangan seperti "pertukaran SIM" ditunjukkan secara terpisah: dalam hal mengganti kartu SIM atau mengubah nomor telepon oleh klien dari lembaga keuangan, disarankan untuk menunda pengiriman informasi sensitif ke nomor pelanggan ini.

Peraturan tersebut juga secara terpisah menekankan bahwa dalam hal perlindungan data pribadi dengan menggunakan langkah-langkah perlindungan informasi kriptografi, lembaga keuangan harus mematuhi persyaratan dari Urutan Layanan Keamanan Federal dari Federasi Rusia No. 378 tanggal 10 Juli 2014 sistem data pribadi menggunakan cara perlindungan kriptografi dari informasi yang diperlukan untuk memenuhi persyaratan yang ditetapkan oleh Pemerintah Federasi Rusia untuk perlindungan data pribadi untuk masing-masing tingkat keamanan. "

Paragraf terpisah (Klausul 2.13) dalam 382-P dikhususkan untuk persyaratan untuk mengidentifikasi dan menanggapi insiden perlindungan informasi ketika melakukan transfer uang. Secara khusus, diindikasikan bahwa operator sistem pembayaran menentukan prosedur untuk interaksi dan pertukaran informasi tentang insiden IS dengan operator transfer uang dan penyedia layanan infrastruktur pembayaran, serta catatan dan menyediakan akses ke informasi tentang insiden yang diidentifikasi dan metode untuk menganalisis dan meresponsnya. Selain itu, lembaga keuangan, kecuali operator sistem pembayaran, diharuskan untuk:

  • mengidentifikasi dan mencatat insiden yang terkait dengan pelanggaran persyaratan untuk memastikan perlindungan informasi selama transfer dana menggunakan cara organisasi dan teknis;
  • menginformasikan unit IS yang didedikasikan dalam hal identifikasi insiden ZI;
  • untuk menanggapi insiden yang diidentifikasi;
  • menganalisis penyebab insiden yang diidentifikasi dan mengevaluasi hasil respons mereka terhadapnya.

Selain itu, Keputusan Bank Sentral Federasi Rusia No. 4793-U tanggal 05/07/2018 memperkenalkan kewajiban untuk operator transfer uang dan operator layanan infrastruktur pembayaran untuk memberi tahu Bank Rusia tentang insiden perlindungan informasi yang diidentifikasi dan rencana pengungkapan publik tentang rincian insiden; dalam hal ini, bentuk dan batas waktu untuk penyediaan informasi konsisten dengan FSB Federasi Rusia.

Persyaratan penting bagi operator pengiriman uang, operator sistem pembayaran, dan penyedia layanan infrastruktur pembayaran adalah penilaian kepatuhan yang wajib, yaitu. analisis kelengkapan persyaratan untuk memastikan perlindungan informasi. Penilaian semacam itu dilakukan setidaknya setiap dua tahun sekali dengan keterlibatan perusahaan lisensi FSTEC Rusia berdasarkan informasi tentang langkah-langkah organisasi dan teknis ZI yang diimplementasikan dan analisis kepatuhan mereka dengan ketentuan 382-P, serta pada hasil pemantauan implementasi prosedur untuk memastikan ZI ketika melakukan transfer uang. . Menurut hasil penilaian kesesuaian, operator ini harus menyerahkan laporan dalam waktu 30 hari kerja sesuai dengan formulir 0403202 “Informasi tentang implementasi oleh operator sistem pembayaran, penyedia layanan infrastruktur pembayaran,operator transfer uang persyaratan untuk memastikan perlindungan informasi ketika melakukan transfer uang ”, sesuai dengan instruksi Bank Sentral Federasi Rusia No. 2831-U (sebagaimana telah diubah dengan Pesanan No. 3024-U). Dengan demikian, Bank Sentral Federasi Rusia menerima dari operator penilaian kuantitatif pemenuhan persyaratan organisasi dan teknis untuk ZI. Untuk menganalisis kelengkapan tindakan perlindungan yang diterapkan, pernyataan oleh operator sistem pembayaran itu sendiri harus menerima laporan dari operator pengiriman uang dan penyedia layanan infrastruktur pembayaran, sementara mereka menetapkan persyaratan untuk konten, bentuk, dan frekuensi laporan tersebut.Bank Sentral Federasi Rusia menerima dari operator penilaian kuantitatif pemenuhan persyaratan organisasi dan teknis untuk ZI. Untuk menganalisis kelengkapan tindakan perlindungan yang diterapkan, pernyataan oleh operator sistem pembayaran itu sendiri harus menerima laporan dari operator pengiriman uang dan penyedia layanan infrastruktur pembayaran, sementara mereka menetapkan persyaratan untuk konten, bentuk, dan frekuensi laporan tersebut.CBR menerima dari operator penilaian kuantitatif pemenuhan persyaratan organisasi dan teknis untuk ZI. Untuk menganalisis kelengkapan tindakan perlindungan yang diterapkan, pernyataan oleh operator sistem pembayaran itu sendiri harus menerima laporan dari operator pengiriman uang dan penyedia layanan infrastruktur pembayaran, sementara mereka menetapkan persyaratan untuk konten, bentuk, dan frekuensi laporan tersebut.

Jenis lain pelaporan oleh operator ke Bank Rusia adalah penyediaan informasi dalam bentuk 0403203 "Informasi tentang identifikasi insiden terkait dengan pelanggaran persyaratan untuk memastikan perlindungan informasi ketika melakukan transfer uang", yang ditetapkan oleh Ordonansi Bank Rusia No. 2831-U tanggal 06/09/2012 “ Pada laporan tentang memastikan perlindungan informasi selama transfer dana dari operator sistem pembayaran, penyedia layanan infrastruktur pembayaran, operator transfer uang ”sebagaimana diubah oleh Instruksi Ba Kode Pajak Rusia No. 4753-U tanggal 30 Maret 2018. Frekuensi penyerahan formulir pelaporan ini bervariasi tergantung pada kategori operator dan jumlah uang yang ditransfer (selanjutnya - d / d).Formulir pelaporan ini harus berisi informasi tentang penggunaan yang tidak sah dari alat pembayaran elektronik oleh pelanggan, tentang transfer dan penarikan d / s dan penurunan saldo d / s elektronik sebagai akibat dari akses tidak sah ke infrastruktur TI operator (termasuk ATM), tentang penolakan layanan transfer d / s, setelah menerima pemberitahuan dari klien tentang fakta-fakta transfer d / s yang tidak sah, serta tentang fakta-fakta tentang pendebetan yang tidak sah dari akun koresponden peserta sistem pembayaran koresponden. Persyaratan khusus dikenakan pada operator transfer d / s, yang merupakan organisasi kredit yang diakui oleh Bank Rusia sebagai signifikan di pasar layanan pembayaran: semua fakta non-penyediaan layanan transfer d / s harus dilaporkan selama lebih dari 2 jam.Pusat Penyelesaian sistem pembayaran yang signifikan harus menunjukkan dalam laporan informasi tentang peristiwa tidak tersedianya layanan penyelesaian untuk jangka waktu lebih dari 1 hari kerja.

Formulir pelaporan 0409258 "Informasi tentang transaksi tidak sah yang dilakukan dengan menggunakan kartu pembayaran", didirikan oleh Bank of Russia Ordonansi No. 4212-U tanggal 24 November 2016 "Dalam daftar, formulir dan prosedur untuk menyusun dan menyerahkan bentuk pelaporan organisasi kredit ke Bank Sentral Federasi Rusia" sebagaimana telah diubah dengan Pesanan No. 4927-U, itu harus berisi informasi tentang jumlah kartu pembayaran yang melakukan operasi tidak sah, dipilah berdasarkan jumlah dan jumlah operasi tidak sah di Federasi Rusia dan dan luar negeri, berkomitmen untuk perdagangan / organisasi jasa, pencairan, melalui ATM, akses melalui internet atau menggunakan smartphone. Formulir pelaporan ini harus disediakan oleh organisasi kredit dan organisasi kredit non-bank,berhak melakukan transfer d / s tanpa membuka rekening bank.

Perlu dicatat bahwa hingga pertengahan 2018, organisasi kredit mengirimkan data transaksi tidak sah ke Bank Rusia sebagai bagian dari formulir pelaporan yang direncanakan 0409258, dan informasi tentang alasan mereka diberikan dalam formulir pelaporan 0403203 setiap bulan, namun, sistem otomatis sedang dikembangkan dan digunakan secara aktif. pemrosesan insiden (ASOI) FinCERT Bank of Russia, di mana pertukaran informasi yang relevan dilakukan secara real time.

Informasi dari laporan yang disampaikan oleh operator termasuk dalam tinjauan resmi tahunan atas transfer tidak sah yang dilakukan oleh FinCERT dari Bank Rusia, di mana, dalam format penyediaan informasi statistik, tren pelanggaran ZI di sektor perbankan ditunjukkan. Misalnya, laporanuntuk tahun 2018 menunjukkan peningkatan yang stabil dalam jumlah transaksi CNP yang tidak sah (CNP, Card Not Present - operasi yang dilakukan tanpa menunjukkan kartu pembayaran, hanya perinciannya), dan penyebab operasi yang tidak sah menggunakan kartu pembayaran individu dalam 97% kasus adalah metode yang digunakan oleh penyerang rekayasa sosial dan pelanggaran penggunaan kartu oleh pemegang kartu, sedangkan penyebab transaksi tidak sah dari badan hukum di 46% kasus adalah dampak dari kode berbahaya dan hanya 39% - metode rekayasa sosial dan pelanggaran aturan kerja oleh pemilik.

Untuk menyimpulkan tinjauan 382-P, perlu dicatat bahwa CBR saat ini sedang bersiap untuk merilis versi terbaru dari dokumen ini, yang diselaraskan dengan dokumen terbaru lainnya yang dikeluarkan oleh Bank Sentral, misalnya, dengan Ketentuan 683-P dan 684-P, yang akan kita bahas di bawah . Jadi, dalam edisi baru ada persyaratan untuk penggunaan perangkat lunak bersertifikat, melakukan pengujian penetrasi tahunan (uji pena) dan analisis kerentanan, memastikan tingkat keamanan sesuai dengan GOST R 57580.1-2017, dan juga menunjukkan bahwa penilaian kesesuaian sesuai dengan GOST R 57580.2-2018 dan analisis kerentanan dalam perangkat lunak aplikasi harus dilakukan oleh organisasi lisensi FSTEC Rusia.

Keputusan Pemerintah No. 584, Peraturan Bank Sentral Federasi Rusia No. 607-P, 380-P, 640-P


Keputusan Pemerintah No. 584 tanggal 13 Juni 2012 “Atas Persetujuan Peraturan tentang Perlindungan Informasi dalam Sistem Pembayaran” ditandatangani sesuai dengan norma 161- “Tentang Sistem Pembayaran Nasional” dan mulai berlaku pada 1 Juli 2012. Resolusi ini berisi persyaratan untuk operator dan agen sistem pembayaran untuk memastikan keamanan informasi yang tunduk pada perlindungan wajib sesuai dengan undang-undang Federasi Rusia, termasuk PD. Dokumen ini menjelaskan persyaratan ZI berikut dalam sistem pembayaran:

  • Penunjukan karyawan atau unit yang bertanggung jawab untuk ZI;
  • dimasukkannya persyaratan ZI dalam uraian tugas karyawan sistem pembayaran;
  • Identifikasi ancaman keamanan (yaitu pemodelan ancaman) dan analisis kerentanan
  • analisis dan manajemen risiko pelanggaran persyaratan untuk ZI;
  • penggunaan SZI;
  • ;
  • ;
  • ;
  • 1 2 .

Pekerjaan ZI dan penilaian kepatuhan terhadap persyaratan ZI dapat dilakukan oleh operator dan agen sistem pembayaran sendiri atau dengan bantuan lisensi FSTEC Rusia. Diindikasikan secara terpisah bahwa persyaratan untuk ZI harus diimplementasikan pada semua tahap pembuatan dan pengoperasian sistem informasi mereka sendiri, dan dalam kasus akuisisi sistem tersebut - pada tahap commissioning dan langsung selama operasi.

Secara umum, Keputusan Pemerintah yang dianggap deklaratif dibandingkan dengan dokumen-dokumen Bank Sentral Federasi Rusia, yang berisi persyaratan terperinci untuk ZI dan rekomendasi untuk penerapannya.

Peraturan Bank Rusia No. 379-P tanggal 05/31/2012 "Peraturan tentang pengoperasian sistem pembayaran yang tidak terputus dan analisis risiko dalam sistem pembayaran" diadopsi hampir bersamaan dengan 382-P, namun demikian, ia kehilangan kekuatan sehubungan dengan penerapan Peraturan Bank Rusia No. 607-Ptanggal 03.10.2017 “Mengenai persyaratan untuk prosedur untuk memastikan operasi yang tidak terputus dari sistem pembayaran, indikator operasi yang tidak terganggu dari sistem pembayaran dan metode analisis risiko dalam sistem pembayaran, termasuk profil risiko”. 607-P berkaitan dengan manajemen risiko dan kelangsungan layanan dalam sistem pembayaran. Dokumen ini, khususnya, mengacu pada kebutuhan untuk melakukan penilaian risiko setidaknya 1 kali per tahun, dan untuk meninjau sistem manajemen risiko - setidaknya 1 kali dalam 2 tahun. Daftar indikator kuantitatif ketersediaan layanan infrastruktur pembayaran, pengoperasian sistem pembayaran yang tidak terputus, dan frekuensi insiden (mis., Peristiwa yang menyebabkan gangguan dalam penyediaan layanan pembayaran yang telah muncul termasuk karena pelanggaran ZI), serta metode untuk menghitung indikator ini disediakan.Indikator yang dihitung kemudian digunakan dalam menilai sistem manajemen risiko dalam sistem pembayaran, sementara penilaian risiko harus diterapkanStandar GOST R ISO / IEC 31010-2011 “Manajemen Risiko. Metode penilaian risiko. " Periode penyimpanan informasi insiden adalah 3 tahun, dan bentuk pelaporan dari operator sistem pembayaran didefinisikan dalam Keputusan Bank Sentral Federasi Rusia No. 3280-U tanggal 06/11/2014 “Pada prosedur untuk menginformasikan operator sistem pembayaran Bank Rusia, peserta sistem pembayaran tentang kasus dan alasan penangguhan (penghentian) penyediaan layanan infrastruktur pembayaran. " Selain itu, 607-P menekankan pentingnya mengembangkan, menguji, dan memperbarui rencana untuk kesinambungan dan pemulihan bisnis.

Pada dasarnya mirip dengan Peraturan No. 607-P, dokumen itu diadopsi untuk Bank Rusia sendiri - kita berbicara tentang Peraturan Bank Rusia No. 680-Ptanggal 03/27/2019 “Mengenai prosedur untuk memastikan operasi tanpa gangguan dari sistem pembayaran Bank Rusia dalam hal layanan pengiriman uang yang mendesak dan layanan pengiriman uang yang tidak mendesak ketika mengirimkan pesanan untuk transfer uang elektronik melalui saluran komunikasi.” Dokumen ini menunjukkan indikator kuantitatif dan sementara spesifik dari operasi yang tidak terputus dari sistem pembayaran Bank Rusia, dan juga menunjukkan bahwa Bank Sentral akan wajib mematuhi standar GOST R 57580.2-2018 (kami membicarakannya sebelumnya ) setidaknya tingkat 4 kepatuhan pada 01/01/2021 . Secara umum, 680-P adalah dokumen berorientasi risiko yang sangat mendalam yang dapat diambil sebagai model ketika bekerja melalui norma-norma Peraturan No. 607-P yang disebutkan sebelumnya.

Peraturan Bank Sentral Federasi Rusia No. 380-Ptertanggal 31 Mei 2012 “Tentang Prosedur Pemantauan dalam Sistem Pembayaran Nasional” menetapkan aturan untuk pemantauan oleh Bank Rusia atas aktivitas entitas NPS. Pemantauan dilakukan dengan mengirimkan permintaan Bank Sentral kepada subyek NPS tentang layanan pembayaran dan tarif yang mereka berikan, karakteristik infrastruktur TI, kesinambungan penyediaan layanan pembayaran, tingkat keamanan keamanan informasi (termasuk informasi tentang insiden IS yang diidentifikasi), pengenalan layanan baru dan keluhan pelanggan. Berdasarkan data yang diperoleh, Bank Sentral Federasi Rusia kemudian menganalisis untuk merumuskan indikator fungsi entitas NPS dan menyesuaikan dokumen peraturan, serta untuk meningkatkan kesadaran terhadap entitas NPS sendiri dan membuat rekomendasi kepada mereka.Bab terpisah dikhususkan untuk penilaian dan penyesuaian aktivitas sistem pembayaran yang signifikan (sistem pembayaran diakui signifikan berdasarkan ketentuan Pasal 22 161-FZ), termasuk dalam konteks meningkatkan penyediaan ZI ketika melakukan transfer d / s. Berdasarkan hasil pemantauan, Bank Rusia menghasilkan tinjauan umum atas hasil pemantauan di NPS, termasuk sistem pembayaran yang signifikan, yang akan dipublikasikan.

Peraturan Bank Sentral Federasi Rusia No. 381-P tanggal 06/09/2012 “Tentang Prosedur Pengawasan Kepatuhan dengan Lembaga Non-Kredit Operator Sistem Pembayaran, Operator Layanan Pembayaran Infrastruktur dari Persyaratan Undang-Undang Federal 27 Juni 2011 No. 161-“ Tentang Sistem Pembayaran Nasional ”yang diadopsi sesuai dengan itu peraturan Bank Rusia ”digantikan oleh Peraturan Bank Sentral Federasi Rusia No. 640-Ptanggal 16 April 2018 “Mengenai Prosedur bagi Bank Rusia untuk Mengawasi Kepatuhan terhadap Organisasi Non-Kredit dari Operator Sistem Pembayaran, Operator Layanan Pembayaran Infrastruktur dari Persyaratan Undang-Undang Federal No. 161-FZ pada 27 Juni 2011“ Tentang Sistem Pembayaran Nasional ”dan standar normatif yang diadopsi sesuai dengannya. tindakan Bank Rusia ". Peraturan No. 640-P menetapkan hak-hak Bank Rusia ketika mengawasi kepatuhan terhadap persyaratan 161-FZ, seperti menganalisis dokumen dan informasi dan melakukan pemeriksaan inspeksi (sesuai dengan Bank Sentral Federasi Rusia No. 184-I), dan juga menetapkan cara untuk mempengaruhi operator untuk menghilangkan kekurangan yang teridentifikasi. Pada saat yang sama, Bank Sentral memiliki hak untuk memverifikasi kepatuhan oleh operator dengan persyaratan untuk menyediakan ZI ketika melakukan transfer d / s.

Peraturan CBR No. 683, 684, 607


Mari kita beralih ke dokumen baru yang dikembangkan oleh Bank Sentral Federasi Rusia. Peraturan No. 683-Ptertanggal 04.17.2019 “Tentang penetapan persyaratan wajib bagi organisasi kredit untuk melindungi informasi selama aktivitas perbankan untuk melawan implementasi transfer uang tanpa persetujuan klien” membuat persyaratan untuk perlindungan pesan elektronik dari bank dan pelanggan mereka, informasi otentikasi klien, informasi tentang perbankan operasi, serta informasi utama yang digunakan oleh CIPF. Peraturan Bank Sentral Federasi Rusia No. 683-P mensyaratkan penerapan berbagai tingkat perlindungan informasi untuk organisasi kredit tergantung pada kepentingannya: organisasi kredit yang penting secara sistemik, organisasi kredit yang melakukan fungsi penyedia layanan infrastruktur pembayaran sistem pembayaran sistemik penting dan organisasi kredit yang signifikan di pasar layanan pembayaran,harus mengambil langkah-langkah untuk melindungi informasi sesuai dengan peningkatan tingkat perlindungan (1) yang didefinisikan dalam standar GOST R 57580.1-2017, dan lain-lain - sesuai dengan tingkat perlindungan standar (2). Pada saat yang sama, organisasi kredit diharuskan untuk mematuhi standar kepatuhan tingkat 3 dengan 01/01/2021 dan standar tingkat 4 - mulai 01/01/2023. Selanjutnya, di bawah 683-P, lembaga pemberi pinjaman diwajibkan untuk melakukan uji-pena tahunan dan analisis kerentanan infrastruktur. Selain itu, bank diharuskan untuk menggunakan perangkat lunak yang digunakan untuk operasi perbankan, termasuk yang diberikan kepada pelanggan, yang disertifikasi oleh FSTEC Rusia untuk kepatuhan dengan persyaratan keamanan informasi, termasuk persyaratan untuk analisis kerentanan dan pemantauan tidak adanya NDV,atau prosedur untuk menganalisis kerentanan berdasarkan persyaratan untuk tingkat kepercayaan yang diperkirakan tidak lebih rendah dari OUD-4 sesuai dengan persyaratan standar GOST R ISO / IEC 15408-3-2013 (norma ini sepenuhnya mengulangi persyaratan 382-P, yang kami tulis di atas). Pada saat yang sama, dalam hal perangkat lunak yang tidak digunakan untuk operasi perbankan, bank dapat secara independen memutuskan kebutuhan untuk sertifikasi, analisis kerentanan dan pengendalian ketiadaan NII. Secara terpisah, diindikasikan bahwa untuk melakukan analisis kerentanan, organisasi kredit harus menarik lisensi dari FSTEC Rusia. Perhatikan bahwa persyaratan untuk penggunaan perangkat lunak aplikasi yang disertifikasi tidak mulai berlaku pada 01.01.2020, seperti yang direncanakan semula, tetapi pada 01.07.2020 (sesuai denganPada saat yang sama, dalam hal perangkat lunak yang tidak digunakan untuk operasi perbankan, bank dapat secara independen memutuskan kebutuhan untuk sertifikasi, analisis kerentanan dan pengendalian ketiadaan NII. Secara terpisah, diindikasikan bahwa untuk melakukan analisis kerentanan, organisasi kredit harus menarik lisensi dari FSTEC Rusia. Perhatikan bahwa persyaratan untuk penggunaan perangkat lunak aplikasi yang disertifikasi tidak mulai berlaku pada 01.01.2020, seperti yang direncanakan semula, tetapi pada 01.07.2020 (sesuai denganPada saat yang sama, dalam hal perangkat lunak yang tidak digunakan untuk operasi perbankan, bank dapat secara independen memutuskan kebutuhan untuk sertifikasi, analisis kerentanan dan pengendalian ketiadaan NII. Secara terpisah, diindikasikan bahwa untuk melakukan analisis kerentanan, organisasi kredit harus menarik lisensi dari FSTEC Rusia. Perhatikan bahwa persyaratan untuk penggunaan perangkat lunak aplikasi yang disertifikasi tidak mulai berlaku pada 01.01.2020, seperti yang direncanakan semula, tetapi pada 01.07.2020 (sesuai denganbahwa persyaratan untuk penggunaan perangkat lunak aplikasi bersertifikat tidak mulai berlaku pada 01.01.2020, seperti yang direncanakan semula, tetapi pada 01.07.2020 (sesuai denganbahwa persyaratan untuk penggunaan perangkat lunak aplikasi bersertifikat tidak mulai berlaku pada 01.01.2020, seperti yang direncanakan semula, tetapi pada 01.07.2020 (sesuai denganSurat informasi Bank Sentral Federasi Rusia).

Dalam Peraturan No. 683-P, paragraf 5 dikhususkan untuk daftar persyaratan ZI ketika melakukan transfer d / s, seperti:

  • penggunaan tanda tangan elektronik dari pesan;
  • regulasi, implementasi dan pengendalian prosedur:

    • identifikasi, otentikasi, dan otorisasi klien;
    • pembentukan, transmisi dan penerimaan pesan elektronik;
    • kredensial hak klien untuk membuang d / s (dalam hal ini, penggunaan tanda tangan elektronik dan penerimaan konfirmasi dari klien tentang transaksi yang diselesaikan juga dijamin);
    • , ( , );
    • ;

  • , , , ;
  • pendaftaran tindakan karyawan dan pelanggan, termasuk data pada tanggal dan waktu transaksi, pengidentifikasi unik subjek, kode bagian teknologi, hasil operasi, pengenal jaringan perangkat yang digunakan.

Diindikasikan bahwa organisasi kredit harus menyimpan informasi terkait transfer d / s, fakta tindakan karyawan dan karyawan, serta insiden ZI selama minimal 5 tahun, dan ketika menggunakan perlindungan informasi kriptografi, perlu untuk mengikuti kerangka kerja peraturan terkait di bidang perlindungan informasi kriptografi.

Poin penting dalam dokumen ini adalah "fokus pelanggan": organisasi kredit berkewajiban untuk memberi tahu pelanggan tentang kemungkinan risiko menggunakan sarana teknis saat melakukan pembayaran dan tentang langkah-langkah untuk meminimalkan risiko ini.

Paragraf terpisah menunjukkan persyaratan untuk menanggapi insiden ZI. Jadi, diindikasikan bahwa organisasi kredit harus mencakup semua peristiwa operasi yang tidak sah dengan d / d dan non-penyediaan layanan perbankan sebagai insiden ZI, serta dipandu oleh daftar jenis insiden yang dibentuk oleh Bank Sentral Federasi Rusia (kami membicarakannya di atas). Insiden ZI harus diproses bersamaan dengan layanan manajemen risiko dan fakta-fakta mengenai insiden ZI harus dicatat (informasi yang dilindungi tempat NSD dilaksanakan, serta hasil dari respons insiden). Selain itu, organisasi harus menyimpan informasi terkait insiden ZI selama minimal 5 tahun, serta memberi tahu CBR tentang insiden ZI yang teridentifikasi dan berencana untuk mempublikasikan informasi mengenai insiden ZI.

Dari 1 Januari 2021, kredit harus memastikan bahwa penilaian kepatuhan dengan tingkat perlindungan informasi (sesuai dengan GOST R 57580.2-2018) dilakukan setidaknya dua kali setiap dua tahun, sementara pemegang lisensi eksternal FSTEC Rusia harus dilibatkan, dan laporan yang dikeluarkan berdasarkan hasil penilaian diperlukan simpan setidaknya 5 tahun.

Kami beralih ke tinjauan dokumen lain yang dikeluarkan oleh Bank Sentral Rusia bersamaan dengan dokumen yang dibahas di atas: Peraturan No. 684-Ptanggal 04.17.2019 “Tentang penetapan persyaratan wajib untuk lembaga keuangan non-kredit untuk memastikan perlindungan informasi ketika melakukan kegiatan di bidang pasar keuangan untuk melawan implementasi transaksi keuangan ilegal” berlaku untuk berbagai jenis perusahaan keuangan selain 683-P, tetapi memiliki kesamaan dengan hal itu norma. Jadi, mulai 1 Januari 2021, lembaga keuangan non-kredit diharuskan untuk melindungi informasi sesuai dengan GOST R 57580.1-2017, sementara tingkat ZI yang meningkat harus diamati oleh rekanan pusat dan penyimpanan pusat, dan tingkat standar harus berupa penyimpanan khusus dana investasi, reksadana dan non-negara. dana pensiun, organisasi kliring, penyelenggara perdagangan, repositori, serta organisasi asuransi besar, broker, dealer,deposan, pendaftar dan manajer; semua organisasi yang terdaftar juga diharuskan untuk melakukan tes pena dan analisis kerentanan. Lembaga keuangan non-kredit lainnya setiap tahun memilih sendiri tingkat ZI yang berlaku - kami ingat bahwa GOST R 57580.1-2017 menetapkan tiga tingkat ZI: minimum (3), standar (2) dan ditingkatkan (1).

Mulai 1 Januari 2021, penilaian tingkat ZI yang ditentukan oleh organisasi non-kredit dilakukan sesuai dengan GOST R 57580.2-2018 dengan keterlibatan pemegang lisensi pihak ketiga dari FSTEC Rusia, dan penilaian semacam itu dilakukan setidaknya setahun sekali oleh organisasi yang memenuhi persyaratan peningkatan tingkat ZI, dan setidaknya 1 kali dalam 3 tahun - oleh organisasi yang memenuhi persyaratan tingkat standar ZI, sementara lembaga keuangan non-kredit wajib mematuhi standar kepatuhan tingkat 3 pada 01/01/2022 dan standar tingkat 4 - pada 01/01/2023. Laporan audit harus disimpan setidaknya selama 5 tahun.

Sudah sejak 1 Juli 2020 (awalnya direncanakan untuk memperkenalkan norma ini dari 01.01.2020, tetapi Bank Sentral Federasi Rusia mengeluarkan pesan tentang penundaan) lembaga keuangan non-kredit yang menerapkan peningkatan dan standar tingkat ZI akan diminta untuk menggunakan perangkat lunak, termasuk yang diberikan kepada pelanggan, yang disertifikasi oleh FSTEC Rusia untuk kepatuhan dengan persyaratan keamanan informasi, termasuk persyaratan untuk analisis kerentanan dan pemantauan tidak adanya NDV, ketika melakukan transaksi keuangan baik melewati prosedur analisis kerentanan sesuai dengan persyaratan untuk tingkat kepercayaan yang diperkirakan tidak lebih rendah dari OUD-4 sesuai dengan persyaratan standar GOST R ISO / IEC 15408-3-2013 (norma ini adalah Sangat mengulangi persyaratan 683-P dan 382-P). Diindikasikan bahwa lembaga keuangan non-kredit lainnya (yaitu, mereka yang tidak menerapkan ZI yang ditingkatkan atau standar) berkewajiban untuk secara independen menentukan kebutuhan sertifikasi atau analisis kerentanan dari perangkat lunak yang digunakan dan diberikan kepada klien. Apalagi dalam hal perangkat lunak,tidak digunakan untuk transaksi keuangan, organisasi dapat secara mandiri memutuskan kebutuhan akan sertifikasi atau analisis kerentanan. Mengenai analisis kerentanan dalam perangkat lunak aplikasi sistem otomatis dan aplikasi untuk organisasi non-kredit, dibandingkan dengan organisasi kredit, relaksasi telah dilakukan - mereka dapat melakukan prosedur ini baik secara mandiri maupun dengan keterlibatan organisasi verifikasi.

Mengenai deskripsi persyaratan untuk instrumen keuangan selama transaksi keuangan, respons terhadap insiden dan instrumen keuangan dan persyaratan untuk bekerja dengan perlindungan informasi kriptografi, norma 684-P sepenuhnya mengulangi persyaratan 683-P yang dijelaskan di atas.

Tindakan normatif lain yang terkait dengan masalah keamanan informasi di sektor perbankan adalah Peraturan No. 607-PBank Rusia bertanggal 03.10.2017 “Mengenai persyaratan untuk prosedur untuk memastikan operasi tanpa gangguan dari sistem pembayaran, indikator operasi tanpa gangguan dari sistem pembayaran dan metode analisis risiko dalam sistem pembayaran, termasuk profil risiko”. Dokumen ini mengatur proses penilaian manajemen dan risiko, serta memperkenalkan indikator kuantitatif tentang kontinuitas sistem pembayaran, tergantung pada tingkat signifikansinya. Prosedur untuk memproses insiden layanan infrastruktur pembayaran dijelaskan, termasuk jumlah informasi yang disimpan mengenai insiden tersebut dan periode penyimpanannya (3 tahun). Nilai kuantitatif dari indikator kontinuitas untuk penyediaan layanan sistem pembayaran dihitung sesuai dengan formula yang diberikan dalam Lampiran dokumen ini, dan, tergantung pada nilai kuantitatif yang diterima,sistem manajemen risiko dalam sistem pembayaran dapat direvisi. Bergantung pada nilai ambang batas indikator kontinuitas yang dilanggar, insiden layanan infrastruktur pembayaran dapat diakui sebagai yang memengaruhi atau tidak secara langsung memengaruhi operasi sistem pembayaran yang tidak terganggu. Dokumen tersebut juga mengacu pada penerapan Keputusan No. 3280-U, yang mengatur pemberitahuan Bank Sentral Federasi Rusia dan peserta lain tentang sistem pembayaran tentang penangguhan penyediaan layanan oleh operator sistem pembayaran.yang mengatur pemberitahuan Bank Sentral Federasi Rusia dan peserta lain dari sistem pembayaran tentang penangguhan penyediaan layanan oleh operator sistem pembayaran.yang mengatur pemberitahuan Bank Sentral Federasi Rusia dan peserta lain dari sistem pembayaran tentang penangguhan penyediaan layanan oleh operator sistem pembayaran.

Source: https://habr.com/ru/post/id483844/

More articles:


All Articles