В РФ ужесточат требования к устройствам и программам для операторов карточных платежных систем

© ООО "Региональные новости"

Банк России опубликовал обновленные требования к аппаратным и программным решениям, обеспечивающим криптографическую защиту в инфраструктуре значимых карточных платежных систем. Документ определяет новые стандарты для разработчиков и операторов таких систем.

Под действие требований попадают:

• аппаратные модули безопасности (HSM);
• платежные терминалы и устройства с терминальным ядром;
• банкоматы;
• платежные карты;
• другие технические средства, использующие криптографические механизмы.

Новые нормы призваны заменить подходы, действовавшие с 2020 года, и учитывают актуальные риски, связанные с переводом денежных средств. Особое внимание уделяется использованию отечественных криптографических средств защиты информации (СКЗИ), прошедших сертификацию ФСБ России. Иностранные криптографические решения, не соответствующие российским стандартам, не подпадают под действие документа.

Ключевые аспекты требований:

Применение российских криптоалгоритмов
Криптографические механизмы должны соответствовать национальным стандартам или иметь положительное заключение ФСБ России. Допускается использование отдельных международных алгоритмов только при обеспечении совместимости и отсутствии влияния на работу отечественных СКЗИ.

Защита на всех этапах жизненного цикла
Производители обязаны обеспечить безопасность устройств на всех стадиях - от разработки и производства до транспортировки, ввода в эксплуатацию и утилизации. Требуется реализация двойного контроля, защищённой упаковки, контроля целостности и ведение журналов событий.

Аутентификация и управление ключами
Для доступа к устройствам предусмотрена многофакторная аутентификация, включая криптографические методы. Управление ключами должно исключать возможность компрометации без сговора минимум двух лиц. Также обязательна поддержка доверенного уничтожения ключевой информации.

Инженерно-криптографическая защита
Устройства должны быть устойчивы к атакам, включая попытки несанкционированного доступа, перехвата данных и физического воздействия. Реализованы механизмы самодиагностики, контроля температурных и других рабочих параметров, а также автоматической очистки буферов после завершения операций.

Документация и прозрачность
Производители обязаны предоставлять подробные руководства по эксплуатации, включая описание функций, процедур управления ключами, административных действий и действий при срабатывании защитных механизмов. Все программные и аппаратные компоненты должны быть верифицированы и не содержать скрытых функций.

Обновление должно повысить уровень защиты транзакций в карточных платежных системах, стимулировать импортозамещения в области криптографических технологий, а также унифицировать требования к разработке и эксплуатации защищённых платежных устройств.