Агентство по регулированию и развитию финансового рынка (АРРФР) Республики Казахстан выписало предписания пяти казахстанским банкам за "несоответствие функционала мобильного приложения требованиям по информационной безопасности".
Такие письма получили пять крупных игроков казахстанского финрынка, а именно — Нурбанк, ВТБ, Halyk Bank, Bank RBK, а также Bereke Bank.
Так, приложения Нурбанка и RBK Bank не соответствуют требованиям Нацбанка Казахстана касательно:
✅ блокировки функционала приложения в случае обнаружения признаков нарушения целостности или обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;
✅ передачи геолокации смартфона клиента в ходе проведения операции на серверы банка при наличии разрешения от клиента либо передачи информации об отсутствии такого разрешения.
Эти же недочеты есть и в приложении ВТБ, но ими дело не ограничивается. В частности, это касается биометрической идентификации клиента при первичной регистрации в приложении и смены пароля. Эти процессы должны проходить посредством Центра обмена идентификационными данными (ЦОИД) или с использованием биометрических данных, полученных посредством устройств банка.
В мобильном приложении Halyk Bank не хватает информирования клиента об авторизации под его учётной записью, изменении/восстановлении пароля и изменении номера мобильного телефона, зарегистрированного банком.
Достаточно много нареканий от АРРФР получило и приложение Bereke Bank. В частности, оно, как и в случае с ВТБ, не отвечает требованию об изменении пароля к мобильному приложению с применением биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД или полученных посредством устройств банка.
Также не соответствует оно и требованиям Нацбанка РК по поводу:
✅ уведомления клиента о наличии обновлений мобильного приложения;
✅ возможности принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки;
✅ информирования клиента об авторизации под его учетной записью, изменении или восстановлении пароля, изменении номера мобильного приложения, зарегистрированного банком.
Такие письма получили пять крупных игроков казахстанского финрынка, а именно — Нурбанк, ВТБ, Halyk Bank, Bank RBK, а также Bereke Bank.
Так, приложения Нурбанка и RBK Bank не соответствуют требованиям Нацбанка Казахстана касательно:
✅ блокировки функционала приложения в случае обнаружения признаков нарушения целостности или обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;
✅ передачи геолокации смартфона клиента в ходе проведения операции на серверы банка при наличии разрешения от клиента либо передачи информации об отсутствии такого разрешения.
Эти же недочеты есть и в приложении ВТБ, но ими дело не ограничивается. В частности, это касается биометрической идентификации клиента при первичной регистрации в приложении и смены пароля. Эти процессы должны проходить посредством Центра обмена идентификационными данными (ЦОИД) или с использованием биометрических данных, полученных посредством устройств банка.
В мобильном приложении Halyk Bank не хватает информирования клиента об авторизации под его учётной записью, изменении/восстановлении пароля и изменении номера мобильного телефона, зарегистрированного банком.
Достаточно много нареканий от АРРФР получило и приложение Bereke Bank. В частности, оно, как и в случае с ВТБ, не отвечает требованию об изменении пароля к мобильному приложению с применением биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД или полученных посредством устройств банка.
Также не соответствует оно и требованиям Нацбанка РК по поводу:
✅ уведомления клиента о наличии обновлений мобильного приложения;
✅ возможности принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки;
✅ информирования клиента об авторизации под его учетной записью, изменении или восстановлении пароля, изменении номера мобильного приложения, зарегистрированного банком.