327
Согласно постановлению, финансовые организации будут обязаны применять усиленную систему идентификации и аутентификации пользователей. Доступ клиентов к цифровым системам извне периметра защиты банка должен осуществляться минимум с использованием двух различных факторов подтверждения личности.
Документ предусматривает использование нескольких способов аутентификации:
• фактора знания — например, пароля или кода;
• фактора владения — устройства, SIM-карты или ЭЦП;
• биометрического фактора — уникальных физиологических данных клиента.
Для дистанционной регистрации клиента банки и другие финансовые организации должны будут применять комбинацию как минимум двух проверок. Среди них:
• биометрическая идентификация по изображению лица через государственную базу данных либо через биометрические данные, полученные при личном присутствии клиента;
• подтверждение владения номером телефона, зарегистрированным в государственной базе мобильных номеров, либо подтверждение через электронную цифровую подпись.
Кроме того, банки смогут собирать дополнительные данные для последующей идентификации клиента. В их числе:
• пароль пользователя;
• данные OTP-генератора для одноразовых кодов;
• уникальный идентификатор мобильного устройства;
• сертификат ЭЦП;
• дополнительный подтвержденный номер телефона;
• биометрические данные;
• криптографические ключи.
Отдельно закреплен порядок проверки мобильного номера. Для этого клиенту будет отправляться специальный одноразовый код, который необходимо подтвердить в системе. Проверка ЭЦП будет проводиться по правилам аккредитованных удостоверяющих центров.
Новые требования направлены на усиление защиты цифровых сервисов, снижение рисков мошенничества и повышение безопасности онлайн-банкинга и финансовых операций.
