EVROPSKÁ CENTRÁLNÍ BANKA EUROSYSTÉM
DOPORUČENÍ PRO BEZPEČNOST INTERNETOVÝCH PLATEB KONEČNÁ VERZE PO VEŘEJNÉM PROJEDNÁNÍ 1
OBECNÁ ČÁST
Tato zpráva předkládá soubor doporučení ke zlepšení bezpečnosti internetových plateb. Tato doporučení vypracovalo Evropské fórum pro bezpečnost maloobchodních plateb, SecuRe Pay (dále jen „Fórum“). Fórum bylo založeno v roce 2011 na bázi dobrovolné spolupráce mezi příslušnými orgány. Jeho cílem je přispět k obecnému povědomí a chápání – především mezi orgány dohledu nad poskytovateli platebních služeb (PPS) a orgány dozoru – záležitostí souvisejících s bezpečností služeb v oblasti elektronických maloobchodních plateb a nástroji poskytovanými v členských státech Evropské unie (EU) / Evropského hospodářského prostoru (EHP). Činnost Fóra se zaměřuje na celý zpracovatelský řetězec služeb v oblasti elektronických maloobchodních plateb (s výjimkou šeků a hotovosti), a to bez ohledu na platební kanál. Cílem Fóra je zaměřovat se na oblasti, kde jsou zjištěna významná zranitelná místa a mezery, a v případě potřeby vypracovat doporučení. Konečným cílem je přispět k vytvoření harmonizované minimální úrovně bezpečnosti v rámci celé EU/EHP. Orgány podílející se na činnosti Fóra jsou uvedeny v příloze. Vzhledem k současným zkušenostem regulačních orgánů, zákonodárných orgánů, PPS a široké veřejnosti, která říká, že platby hrazené přes internet vykazují větší výskyt podvodného jednání než tradiční platební metody1, se Fórum rozhodlo vypracovat doporučení pro bezpečnost internetových plateb. Tato doporučení vycházejí ze zkušeností orgánů dozoru a dohledu v jejich domovských zemích a zohledňují zpětnou vazbu získanou ve veřejném projednávání. 2 Předpokládá se, že vypracování harmonizovaných evropských doporučení pro bezpečnost internetových plateb pomůže v boji proti platebním podvodům a přispěje ke zvýšení spotřebitelské důvěry v internetové platby. Tato zpráva rovněž zahrnuje některé osvědčené postupy, jejichž používání je doporučeno poskytovatelům platebních služeb, řídícím orgánům platebních systémů a dalším tržním účastníkům, jako jsou např. elektroničtí obchodníci. Tyto osvědčené postupy jsou důležité, poněvadž bezpečnost internetových plateb závisí na odpovědném chování všech účastníků. V současné době existuje jen omezené množství veřejně dostupných informací pro celou EU, pokud jde o podvodné jednání. Nicméně podle britské organizace Financial Fraud Action UK působící v odvětví finančních služeb a francouzské Observatoře pro bezpečnost platebních karet (Observatoire de la sécurité des cartes de paiement) se podvody bez přítomnost karty (tzv. „card-not-present fraud“) staly nejběžnějším druhem platebního podvodu. Viz také Evropská centrální banka (2012), Report on card fraud (Zpráva o karetních podvodech), červenec. 2 Veřejné projednávání k navrhovaným doporučením proběhlo od poloviny dubna do června 2012. 1
1 ECB Doporučení pro bezpečnost internetových plateb Leden 2013
ROZSAH A ADRESÁTI DOPORUČENÍ Není-li uvedeno jinak, vztahují se doporučení, klíčová hlediska a osvědčené postupy uvedené v této zprávě na všechny PPS, jak jsou tito definováni ve směrnici o platebních službách 3, poskytující internetové platební služby, jakož i na řídící orgány (ŘO) platebních systémů 4 (včetně systémů platebních karet, systémů bezhotovostních úhrad, inkasních systémů atd.). Účelem této zprávy je definovat společné minimální požadavky na níže uvedené internetové platební služby, a to bez ohledu na použité přístupové zařízení: -
[karty] provádění karetních plateb na internetu, včetně plateb pomocí virtuálních karet, jakož i registrace údajů o karetních platbách k používání v rámci řešení pro elektronické peněženky („wallet solutions“);
-
[bezhotovostní převody] provádění bezhotovostních převodů (BP) na internetu;
-
[elektronické oprávnění („e-mandate“)] vydávání a změny elektronických oprávnění k inkasu;
-
[elektronické peníze („e-money“)] převody elektronických peněz mezi dvěma elektronickými účty přes internet.
Tzv. platební integrátoři5 nabízející služby v oblasti zadávání plateb se považují buď za subjekty (tzv. zúčtovatele) provádějící zúčtování internetových platebních služeb (a tedy za PPS), nebo za externí poskytovatele technických služeb pro příslušné systémy. V posledně jmenovaném případě by měli být platební integrátoři smluvně vázáni řídit se těmito doporučeními. Ze současného rozsahu doporučení, klíčových hledisek a osvědčených postupů jsou vyloučeny: 6 -
další internetové služby, které poskytuje PPS prostřednictvím své platební webové stránky (např. elektronické makléřství, online smlouvy);
-
platby, kde je příslušný pokyn dáván poštou, na základě telefonické objednávky, hlasovou poštou nebo pomocí technologie SMS;
-
mobilní platby kromě plateb z prohlížečů; 7
Směrnice Evropského parlamentu a Rady 2007/64/ES ze dne 13. listopadu 2007 o platebních službách na vnitřním trhu, kterou se mění směrnice 97/7/ES, 2002/65/ES, 2005/60/ES a 2006/48/ES a zrušuje směrnice 97/5/ES, Úř. věst. L 319, 5. 12. 2007, str. 1. 4 Tento řídící orgán zodpovídá za celkové fungování systému, který podporuje předmětný platební prostředek, a dále za zajištění toho, že všechny zúčastněné strany dodržují pravidla systému. Dále zodpovídá za zajištění souladu systému se standardy dozoru. Evropská centrální banka (2009), Harmonised oversight approach and oversight standards for payment instruments (Harmonizovaný přístup k dozoru a standardy dozoru pro platební prostředky), únor. 5 Platební integrátoři poskytují příjemci platby (tj. elektronickému obchodníkovi) standardizované rozhraní ke službám v oblasti zadávání plateb poskytovaných poskytovateli platebních služeb (PPS). 6 Některé z těchto záležitostí mohou být později předmětem samostatné zprávy. 3
2 ECB Doporučení pro bezpečnost internetových plateb Leden 2013
-
BP, kde má třetí osoba přístup k platebnímu účtu klienta;
-
platební transakce realizované podnikem prostřednictvím vyhrazených sítí;
-
karetní platby využívající anonymní fyzické nebo virtuální předplacené karty bez možnosti opětovného nabití, kde není žádný trvalý vztah mezi vydavatelem a držitelem karty;
-
zúčtování a vypořádání platebních transakcí.
HLAVNÍ ZÁSADY Uvedená doporučení se opírají o čtyři hlavní zásady. Za prvé, PPS a ŘO platebních systémů by měli provést konkrétní vyhodnocení rizik souvisejících s poskytováním internetových platebních služeb, přičemž tato rizika by měla být pravidelně aktualizována v souladu s vývojem internetových bezpečnostních hrozeb a podvodných mechanismů. V minulosti již byla některá rizika v této oblasti identifikována, a to například Bankou pro mezinárodní vypořádání v roce 20038 nebo Federální rada dohledu nad finančními institucemi (Federal Financial Institutions Examination Council) v letech 2005 a 2011. 9 Nicméně vzhledem k rychlosti technologického pokroku a zavádění nových způsobů provádění internetových plateb, spolu se skutečností, že podvodníci jsou nyní více organizovaní a jejich útoky se staly sofistikovanějšími, je pravidelné vyhodnocování relevantních rizik naprosto zásadní. Za druhé, jako všeobecná zásada, zadávání internetových plateb, jakož i přístup k citlivým platebním údajům by měly být chráněny tzv. silnou autentizací klienta. Pro účely této zprávy se citlivými platebními údaji rozumí údaje, které mohou být zneužity k podvodu. Sem patří informace umožňující zadání platebního příkazu, informace používané k autentizaci, informace používané k objednávání platebních prostředků či autentizačních nástrojů, které budou zasílány klientům, jakož i informace, parametry a software, které, pokud jsou změněny, mohou ovlivnit schopnost oprávněné osoby ověřovat platební transakce, schvalovat elektronická oprávnění či nakládat s účtem, jako jsou např. „černé“ a „bílé“ listiny, klientem definované limity apod. Silnou autentizací klienta se rozumí postup opírající se o využití dvou nebo více následujících prvků – klasifikovaných jako znalosti, vlastnictví a jedinečnost (inherence): i) něco, co zná pouze uživatel, např. statické heslo, kód, osobní identifikační číslo; ii) něco, co vlastní pouze uživatel, např. bezpečnostní klíč (token), chytrou kartu, mobilní telefon; iii) něco, čím uživatel je, např. biometrická charakteristika, jako je např. otisk prstů. Kromě toho musí být zvolené prvky vzájemně nezávislé, tj. porušení jednoho prvku neovlivňuje ostatní prvky. Alespoň jeden z těchto prvků by nemělo být možné znovu použít a replikovat (s výjimkou Konkrétní doporučení vztahující se na vydávání a údržbu softwarových aplikací budou předmětem samostatné práce věnované mobilním platbám. 8 Banka pro mezinárodní vypořádání (2003), Risk Management Principles for Electronic Banking (Principy řízení rizika pro elektronické bankovnictví), červenec. 9 Federální rada dohledu nad finančními institucemi (2005), Authentication in an Internet Banking Environment (Autentizace v prostředí internetového bankovnictví), říjen. Viz také dodatek k metodickému pokynu pro rok 2005, červen 2011. 7
3 ECB Doporučení pro bezpečnost internetových plateb Leden 2013
jedinečnosti) a nemělo by být možné jej tajně odcizit přes internet. Celý autentizační proces by měl být navržen tak, aby byla chráněna důvěrnost údajů nutných k autentizaci. Fórum je toho názoru, že PPS, kteří nepoužívají žádné, nebo používají pouze slabé autentizační postupy, nemohou v případě sporné transakce prokázat, že klient schválil danou transakci. Za třetí, PPS by měli mít zavedeny účinné postupy pro ověřování transakcí, jakož i pro sledování transakcí a systémů, aby bylo možné odhalit abnormální průběh zákaznických plateb a předcházet podvodům Za čtvrté, PPS a ŘO platebních systémů by měli být zapojeni do programů zaměřených na informovanost a vzdělávání klientů v bezpečnostních otázkách souvisejících s využíváním internetových platebních služeb s cílem umožnit klientům10 využívat těchto služeb bezpečným a efektivním způsobem. Tato doporučení jsou formulována co nejobecněji, aby mohla zohlednit průběžně přicházející technologické inovace. Fórum si je však vědomo, že mohou kdykoliv vyvstat nové hrozby, a proto bude tato doporučení průběžně revidovat. Tato zpráva se nepokouší stanovit konkrétní bezpečnostní či technická řešení. Ani nově nedefinuje stávající odvětvové technické standardy či očekávání příslušných orgánů v oblasti ochrany údajů a kontinuity obchodní činnosti a ani nenavrhuje jejich změny. Při posuzování souladu s bezpečnostními doporučeními mohou příslušné orgány vzít v úvahu soulad s příslušnými mezinárodními standardy. Tam, kde doporučení naznačují možná řešení, může být stejného výsledku dosaženo jinými prostředky. Doporučení uvedená v této zprávě představují minimální očekávání. Není jimi dotčena povinnost PPS, ŘO platebních systémů a dalších tržních účastníků sledovat a vyhodnocovat rizika související s jejich platebními operacemi, vypracovat si své vlastní podrobné bezpečnostní politiky a realizovat vhodná bezpečnostní a nouzová opatření, jakož i opatření v oblasti zvládání incidentů (nehod) a zajištění kontinuity obchodní činnosti, která jsou přiměřená rizikům souvisejícím s poskytovanými platebními službami. REALIZACE Tato zpráva uvádí 14 doporučení pro zajištění bezpečnosti internetových plateb. Jednotlivá doporučení jsou specifikována pomocí klíčových hledisek (KH). Tato hlediska je třeba prostudovat zároveň s jednotlivými doporučeními, aby bylo zajištěno úplné chápání minimálních očekávaní, pokud jde o zajištění souladu s bezpečnostními doporučeními. Očekává se, že adresáti doporučení se budou řídit jak doporučeními, tak i KH, nebo budou muset být schopni na žádost kompetentního orgánu vysvětlit a zdůvodnit jakoukoliv případnou odchylku od těchto doporučení či KH (zásada „dodržuj nebo vysvětli“). Tato zpráva dále popisuje některé osvědčené postupy (OP), jejichž používání se doporučuje PPS, ŘO platebních systémů a příslušným tržním účastníkům. Právní základ pro realizaci doporučení příslušnými orgány v jednotlivých zemích je dán vnitrostátními předpisy provádějícími směrnici o platebních službách anebo stávajícími 10
Zákazníky se rozumí jak spotřebitelé, tak i firmy, kterým je poskytována platební služba.
4 ECB Doporučení pro bezpečnost internetových plateb Leden 2013
pravomoci příslušných orgánů v oblasti dozoru a dohledu. Jednotliví členové Fóra se zavázali podporovat realizaci doporučení ve svých příslušných jurisdikcích a budou je integrovat do stávajících rámců v oblasti dohledu a dozoru. Fórum bude rovněž usilovat o zajištění účinné a důsledné realizace v jednotlivých jurisdikcích a za tímto účelem může spolupracovat s jinými kompetentními orgány. PPS a ŘO platebních systémů by měli tato doporučení realizovat do 1. února 2015. Příslušné orgány v jednotlivých zemích mohou případně stanovit kratší přechodné období. STRUKTURA ZPRÁVY Předmětná doporučení jsou rozčleněna do třech kategorií. 1.
Celkové kontrolní a bezpečnostní prostředí platformy podporující internetovou platební službu. V rámci svých postupů v oblasti řízení rizik by PPS měli posoudit adekvátnost svých interních bezpečnostních a kontrolních mechanismů vůči interním a externím rizikovým scénářům. Doporučení v první kategorii se zabývají otázkami týkajícími se řízení, identifikace rizik a vyhodnocení, monitorování a vykazování, řízení a snižování rizika, jakož i sledovatelnosti.
2.
Konkrétní kontrolní a bezpečnostní opatření pro internetové platby. Doporučení ve druhé kategorii se vztahují na všechny kroky během zpracování platební transakce, počínaje přístupem ke službě (informace o klientovi, registrace, autentizační řešení) přes zadání platby, monitorování a schválení (autorizaci) až po ochranu citlivých platebních údajů.
3.
Informovanost a vzdělávání klientů, komunikace. Doporučení v třetí kategorii zahrnují ochranu klientů, co se od klientů očekává v případě nevyžádané žádosti o osobní přihlašovací údaje, jak používat internetové platební služby bezpečným způsobem a konečně jak si mohou klienti zkontrolovat, že transakce byla zadána a realizována.
Tato zpráva rovněž obsahuje slovníček některých důležitých pojmů. V příloze je uveden seznam členů Fóra. 2
DOPORUČENÍ
CELKOVÉ KONTROLNÍ A BEZPEČNOSTNÍ PROSTŘEDÍ Doporučení č. 1: Řízení PPS a platební systémy by měli zavést a pravidelně přehodnocovat formální bezpečnostní politiku pro internetové platební služby. 1.1 KH Bezpečnostní politika by měla být řádně zdokumentována a pravidelně přehodnocována (v souladu s 2.4 KH) a schválena vedením firmy. Měla by definovat cíle v oblasti bezpečnosti a ochotu riskovat. 1.2 KH Bezpečnostní politika by měla definovat role a odpovědnosti, včetně funkce řízení rizika s přímou odpovědností vůči vedení firmy, a hierarchické vztahy subordinace pro 5 ECB Doporučení pro bezpečnost internetových plateb Leden 2013
poskytované internetové platební služby, včetně nakládání s citlivými platebními údaji vzhledem k hodnocení, řízení a snižování rizika. 1.1 OP Bezpečnostní politika by mohla být zpracována ve formě samostatného dokumentu. Doporučení č. 2: Hodnocení rizika PPS a platební systémy by měli provést a zdokumentovat zevrubná hodnocení rizik ve vztahu k bezpečnosti internetových plateb a souvisejícím službám, a to jak před zřízením služby (služeb), tak i pravidelně poté. 2.1 KH PPS a platební systémy by pomocí své funkce řízení rizik měli provést a zdokumentovat zevrubná hodnocení rizik pro internetové platby a související služby. PPS a platební systémy by měli brát v úvahu výsledky nepřetržitého monitorování bezpečnostních hrozeb týkajících se internetových platebních služeb, které nabízejí, nebo mají v plánu nabízet, přičemž zohlední: i) jimi používaná technologická řešení, ii) služby zajišťované u externích poskytovatelů a iii) technické prostředí klientů. PPS a platební systémy by měli vzít v úvahu rizika související se zvolenými technologickými platformami, aplikační architekturou, programovacími technikami a postupy, a to jak na straně své 11, tak i na straně svých klientů 12, jakož i výsledky procesu monitorování bezpečnostních incidentů (viz Doporučení č. 3). 2.2 KH Na tomto základě by PPS a platební systémy měli určit, zdali a v jakém rozsahu je případně nezbytné provést změny stávajících bezpečnostních opatření, používaných technologií a postupů či nabízených služeb. PPS a platební systémy by měli vzít v úvahu dobu potřebnou k realizaci těchto změn (včetně jejich realizace vůči klientům) a přijmout vhodná prozatímní opatření k minimalizaci bezpečnostních incidentů a podvodů, jakož i případných rušivých dopadů. 2.3 KH Hodnocení rizik by mělo řešit potřebu chránit a zabezpečit citlivé platební údaje. 2.4 KH PPS a platební systémy by měli provést přezkum rizikových scénářů a stávajících bezpečnostních opatření po významných událostech majících dopad na jejich služby, před významnou změnou své infrastruktury či postupů a když jsou zjištěny nové hrozby prostřednictvím činností v oblasti sledování rizika. Kromě toho by alespoň jednou ročně měl být proveden celkový přezkum hodnocení rizik. Výsledky hodnocení rizik a přezkumů by měly být předloženy ke schválení vrcholovému vedení. Doporučení č. 3: Monitorování a hlášení bezpečnostních incidentů PPS a platební systémy by měli zajistit důsledné a integrované monitorování, zvládání a následné řešení bezpečnostních incidentů, včetně stížností klientů týkajících se bezpečnosti. PPS a platební systémy by měli stanovit postup pro hlášení těchto incidentů vedení firmy a v případě významných incidentů týkajících se platební bezpečnosti i kompetentním orgánům.
Jako je např. náchylnost systému vůči krádeži platební relace (payment session hijacking), napadení typu SQL injection a cross-site scripting, přetečení zásobníku (buffer overflow) apod. 12 Jako jsou např. rizika spojená s používáním multimediálních aplikací, zásuvných modelů prohlížečů, rámečků, externích odkazů apod. 11
6 ECB Doporučení pro bezpečnost internetových plateb Leden 2013
3.1 KH PPS a platební systémy by měli mít zaveden postup pro monitorování, zvládání a následné řešení bezpečnostních incidentů a stížností klientů týkajících se bezpečnosti a tyto incidenty hlásit vedení firmy. 3.2 KH PPS a platební systémy by měli mít zaveden postup pro okamžité informování příslušných orgánů (tj. orgánů v oblasti dohledu, dozoru a ochrany údajů), pokud existují, v případě významných incidentů týkajících se platební bezpečnosti ve vztahu k poskytovaným platebním službám. 3.3 KH PPS a platební systémy by měli mít zaveden postup pro spolupráci v případě významných incidentů týkajících se platební bezpečnosti, včetně porušení ochrany údajů, s příslušnými orgány pro vymáhání práva. 3.4 KH PPS nabízející zúčtovací služby pro platební karty by měli smluvně vyžadovat od elektronických obchodníků, kteří uchovávají, zpracovávají či přenášejí citlivé platební údaje, aby v případě významných incidentů týkajících se platební bezpečnosti, včetně porušení ochrany údajů, spolupracovali jak s nimi, tak i s příslušnými orgány pro vymáhání práva. Pokud se PPS dozví, že elektronický obchodník nespolupracuje tak, jak vyžaduje smlouva, měl by podniknout kroky k vymáhání plnění této smluvní povinnosti, nebo smlouvu vypovědět. Doporučení č. 4: Řízení a snižování rizika PPS a platební systémy by měli realizovat bezpečnostní opatření v souladu se svými příslušnými bezpečnostními politikami za účelem snížení zjištěných rizik. Tato opatření by měla zahrnovat několik bezpečnostních vrstev, kdy je případné selhání jedné bezpečnostní vrstvy zachyceno vrstvou následující („hloubková ochrana“). 4.1 KH Při navrhování, vývoji a údržbě internetových platebních služeb by PPS a platební systémy měli věnovat zvláštní pozornost adekvátnímu rozdělení povinností v prostředí informačních technologií (např. vývojová, zkušební a výrobní prostředí) a řádné realizaci tzv. principu nejnižších privilegií (zásady minimálních práv) 13 jakožto základu pro kvalitní řízení identity a přístupu. 4.2 KH PPS a platební systémy by měli mít zavedena vhodná bezpečnostní řešení na ochranu sítí, webových stránek, serverů a komunikačních spojení proti zneužití a útokům. PPS a platební systémy by měli servery zbavit všech nadbytečných funkcí, aby je ochránili (zvýšili jejich odolnost) a aby odstranili či zredukovali zranitelná místa aplikací vystavených riziku. Přístup různých aplikací k požadovaným údajům a zdrojům by měl být poskytován pouze na nezbytně nutné úrovni v souladu s principem nejnižších privilegií. S cílem omezit používání „falešných“ webových stránek (napodobujících skutečné stránky PPS), měly by být transakční webové stránky nabízející internetové platební služby identifikovány pomocí certifikátů s vyšším stupněm ověření vystavených na jméno PPS nebo pomocí obdobných autentizačních metod. 4.3 KH PPS a platební systémy by měly mít zavedeny vhodné postupy k monitorování, sledování a omezení přístupu k: i) citlivým platebním údajům a ii) logickým a fyzickým „Každý program a každý privilegovaný uživatel systému by měl pracovat s použitím nejmenší množiny privilegií potřebných na provedení daného úkolu.“ Viz Saltzer, J.H. (1974), „Ochrana a řízení sdílení informací v Multicsu, Communications of the ACM, Svazek 17, č. 7, strany 388. 13
7 ECB Doporučení pro bezpečnost internetových plateb Leden 2013
kritickým zdrojům, jako jsou např. sítě, systémy, databáze, bezpečnostní moduly apod. PPS by měli vytvářet, uchovávat a analyzovat příslušné záznamy a revizní stopy. 4.4 KH Při navrhování, 14 vývoji a údržbě internetových platebních služeb by měli PPS zajistit, aby zásadní součástí klíčové funkcionality byla minimalizace dat 15: shromažďování, směrování, zpracovávání, ukládání anebo archivace a vizualizace citlivých platebních údajů by měly být omezeny pouze na absolutně nezbytné minimum. 4.5 KH Bezpečnostní opatření pro internetové platební služby by měla být testována pod dohledem funkce (osoby) odpovědné za řízení rizika, aby byla zajištěna jejich odolnost a účinnost. Na veškeré změny by se měl vztahovat formální proces řízení změn, který by zajistil, že změny budou řádně naplánovány, otestovány, zdokumentovány a schváleny. Na základě provedených změn a zjištěných bezpečnostních hrozeb by měly být testy pravidelně opakovány a měly by zahrnovat scénáře významných a známých potenciálních útoků. 4.6 KH Bezpečnostní opatření PPS v oblasti internetových platebních služeb by měla být pravidelně prověřována, aby byla zajištěna jejich odolnost a účinnost. Mělo by být prověřováno i provádění a fungování těchto služeb. Frekvence a předmět těchto prověrek by měly zohledňovat existující bezpečnostní rizika a být jim úměrné. Prověrky by měly provádět důvěryhodní a nezávislí (interní či externí) experti, kteří by se neměli žádným způsobem podílet na vývoji, realizaci či provozním řízení poskytovaných internetových platebních služeb. 4.7 KH Kdykoliv PPS a platební systémy externě zajišťují funkce týkající se bezpečnosti internetových platebních služeb, měla by předmětná smlouva obsahovat ustanovení vyžadující dodržování zásad a doporučení uvedených v této zprávě. 4.8 KH PPS nabízející zúčtovací služby pro platební karty by měli smluvně vyžadovat od elektronických obchodníků, kteří nakládají (tj. uchovávají, zpracovávají či přenášejí) s citlivými platebními údaji, aby v rámci své IT infrastruktury přijali bezpečnostní opatření v souladu s KH 4.1 až 4.7 s cílem zabránit krádeži těchto citlivých platebních údajů prostřednictvím svých systémů. Pokud se PPS dozví, že elektronický obchodník nemá zavedena požadovaná bezpečnostní opatření, měl by podniknout kroky k vymáhání plnění této smluvní povinnosti, nebo smlouvu vypovědět. 4.1 OP PPS by mohli zajišťovat bezpečnostní nástroje (např. zařízení anebo upravené prohlížeče, řádně zabezpečené) za účelem ochrany klientského rozhraní proti nezákonnému použití či útokům (např. útoky typu „man in the browser). Doporučení č. 5: Sledovatelnost PPS by měli mít zavedeny postupy zajišťující, aby veškeré transakce, jakož i veškeré procesy související s fungováním elektronického oprávnění, byly patřičně sledovány. 5.1 KH PPS by měli zajistit, aby jejich služba obsahovala bezpečnostní mechanismy pro podrobný záznam údajů o transakcích a elektronickém oprávnění, včetně pořadového čísla 14
Ochrana soukromí již od návrhu (privacy by design) Minimalizace dat vychází ze zásady shromažďovat co nejmenší množství osobních údajů nutných k výkonu dané funkce. 15
8 ECB Doporučení pro bezpečnost internetových plateb Leden 2013
transakce, časových záznamů pro údaje o transakcích, změn parametrizace, jakož i přístupu k údajům o transakcích a o elektronickém oprávnění. 5.2 KH PPS by měli zavést protokolové soubory umožňující vysledování jakýchkoliv případných doplňků, změn či výmazů údajů o transakcích a o elektronickém oprávnění. 5.3 KH PPS by měli vyvolávat a analyzovat údaje o transakcích a o elektronickém oprávnění a zajistit, aby měli k dispozici nástroje k vyhodnocení protokolových souborů. Příslušné aplikace by měly být dostupné pouze oprávněným pracovníkům. 5.1 OP PPS nabízející zúčtovací služby pro platební karty by mohli smluvně vyžadovat od elektronických obchodníků, kteří uchovávají platební informace, aby měli zavedeny vhodné postupy k zajištění sledovatelnosti. KONKRÉTNÍ KONTROLNÍ A BEZPEČNOSTNÍ OPATŘENÍ PRO INTERNETOVÉ PLATBY Doporučení č. 6: Prvotní ověření totožnosti klienta, informace Totožnost klientů by měla být řádně ověřena v souladu s evropskými předpisy proti praní peněz 16 a klienti by měli potvrdit svou ochotu provádět internetové platby pomocí předmětných služeb ještě před tím, než jim bude k těmto službám poskytnut přístup. PPS by měli klientovi poskytnout potřebné informace o požadavcích (např. pokud jde o technické vybavení a uplatňované postupy) nezbytných pro realizaci bezpečných platebních transakcí přes internet a o souvisejících rizicích, přičemž tyto informace by měly být podle potřeby poskytovány buď předem, průběžně nebo ad hoc. 6.1 KH PPS by měli zajistit, aby klient absolvoval příslušnou hloubkovou kontrolu (tzv. due diligence) a aby předložil řádné doklady o své totožnosti 17 a související informace, a to ještě před tím, než je mu poskytnut přístup k internetovým platebním službám. 18 6.2 KH PPS by měli zajistit, aby předběžné informace 19 poskytované klientovi obsahovaly konkrétní podrobnosti týkající se internetových platebních služeb. Podle potřeby se jedná o následující informace: -
jasné informace o jakýchkoliv případných požadavcích, pokud jde o klientovo technické vybavení, software či jiné nezbytné nástroje (např. antivirový software, firewally);
Například směrnice Evropského parlamentu a Rady 2005/60/ES ze dne 26. října 2005 o předcházení zneužití finančního systému k praní peněz a financování terorismu. Úřední věstník L 309, 25. 11. 2005, str. 15-36. Viz také Směrnice Komise 2006/70/ES ze dne 1. srpna 2006, kterou se stanoví prováděcí opatření ke směrnici Evropského parlamentu a Rady 2005/60/ES, pokud se jedná o definici politicky exponovaných osob a technická kritéria pro zjednodušené postupy hloubkové kontroly klienta a pro výjimku na základě finanční činnosti vykonávané příležitostně nebo ve velmi omezené míře. Úřední věstník L 214, 4. 8. 2006, str. 29-34. 17 Například cestovní pas, občanský průkaz nebo zaručený elektronický podpis. 18 Procesem identifikace klienta nejsou dotčeny jakékoliv případné výjimky stanovené v platných právních předpisech pro boj proti praní peněz. PPS nemusí provádět samostatný proces ověření totožnosti klienta pro internetové platební služby za předpokladu, že takové ověření totožnosti klienta již bylo provedeno, např. pro účely jiných existujících služeb týkajících se plateb nebo při založení účtu. 19 Tyto informace doplňují článek 42 směrnice o platebních službách, jenž uvádí informace, které musí PPS poskytnout uživateli platebních služeb před uzavřením smlouvy o poskytování platebních služeb. 16
9 ECB Doporučení pro bezpečnost internetových plateb Leden 2013
-
pokyny pro řádné a bezpečné používání osobních přihlašovacích údajů;
-
popis jednotlivých kroků procesu zadávání a schvalování platebních transakcí anebo získávání informací klientem, včetně důsledků každého provedeného úkonu;
-
pokyny pro řádné a bezpečné používání veškerého hardwaru a softwaru poskytnutého klientovi;
-
postupy, které je potřeba dodržovat v případě ztráty či krádeže osobních přihlašovacích údajů nebo klientova hardwaru či softwaru pro přihlášení do systému či provádění transakcí;
-
postupy, které je potřeba dodržovat, pokud je odhaleno nebo předpokládáno jakékoliv zneužití;
-
popis příslušných odpovědností a povinností PPS a klienta, pokud jde o používání internetových platebních služeb.
6.3 KH PPS by měli zajistit, aby bylo v rámcové smlouvě s klientem stanoveno, že PPS je oprávněn z bezpečnostních důvodů zablokovat konkrétní transakci nebo platební prostředek20. Ve smlouvě by také měl být určen způsob a podmínky informování klienta a také způsob, jak může klient kontaktovat PPS za účelem „odblokování“ internetové platební transakce či služby, a to v souladu se směrnicí o platebních službách. 6.4 KH PPS by rovněž měli zajistit, aby byly klientům průběžně, nebo případně ad hoc, poskytovány vhodnými prostředky (např. pomocí letáků, webových stránek) jasné a srozumitelné pokyny vysvětlující jejich povinnosti, pokud jde o bezpečné užívání příslušné služby. 6.1 OP Klient by mohl uzavřít samostatnou smlouvu o poskytování služeb, pokud jde o provádění internetových platebních transakcí místo toho, aby byly podmínky těchto transakcí zahrnuty do širší všeobecné smlouvy o poskytování služeb uzavřené s PPS. Doporučení č. 7: Silná autentizace klienta Zadávání internetových plateb i přístup k citlivým platebním údajům by měly být chráněny pomocí silné autentizace klienta. 7.1 KH [BP/elektronické oprávnění/elektronické peníze] PPS by měli provádět silnou autentizaci klienta, pokud jde o schvalování internetových platebních transakcí klientem (včetně BP s více příjemci) a vystavování či změny elektronických oprávnění k inkasu. PPS by však mohli zvážit přijetí alternativních opatření týkajících se autentizace klienta pro: -
odchozí platby důvěryhodným příjemcům uvedeným na předchozích bílých listinách zpracovaných pro takového klienta;
-
transakce mezi dvěma účty stejného klienta vedenými u stejného PPS;
Viz článek 55 směrnice o platebních službách, který pojednává o limitech pro používání platebního prostředku. 20
10 ECB Doporučení pro bezpečnost internetových plateb Leden 2013
-
převody v rámci stejného PPS na základě analýzy transakčního rizika;
-
platby malých částek ve smyslu směrnice o platebních službách. 21
7.2 KH Získání přístupu k citlivým platebním údajům a případné změny těchto údajů (včetně vytváření a změn bílých listin) vyžaduje silnou autentizaci klienta. Pokud PPS nabízí výhradně poradenské služby, kdy nedochází k zobrazení citlivých klientských či platebních údajů – jako jsou např. údaje o platební kartě – které je možné snadno zneužít pro spáchání podvodu, může PPS provést úpravu svých požadavků na autentizaci na základě svého hodnocení rizika. 7.3 KH [karty] Pokud jde o karetní transakce, všichni PPS vydávající karty by měli podporovat silnou autentizaci držitele karty. Všechny vystavené karty musí být technicky připraveny (registrovány) pro používání spolu s důsledným ověřením totožnosti. 7.4 KH [karty] PPS nabízející zúčtovací služby pro platební karty by měli podporovat technologie umožňující vydavateli provést silnou autentizaci držitele karty pro karetní platební systémy, jichž se daný subjekt nabízející zúčtovací služby pro platební karty účastní. 7.5 KH [karty] PPS nabízející zúčtovací služby pro platební karty by měli od svého elektronického obchodníka vyžadovat, aby podporovali řešení umožňující vydavateli provést silnou autentizaci držitele karty pro účely karetních transakcí přes internet. Pro předem stanovené kategorie transakcí s nízkým rizikem, např. na základě analýzy transakčního rizika, anebo pro platební transakce týkající se malých částek ve smyslu směrnice o platebních službách by bylo možné zvážit používání alternativních autentizačních metod. 7.6 KH Všechny platební systémy by měly podporovat provádění silné autentizace klienta zavedením režimu odpovědnosti22 pro zúčastněné PPS na všech evropských trzích. 7.7 KH [karty] Pro karetní platební systémy akceptované danou službou by poskytovatelé řešení pro elektronické peněženky měli vyžadovat silnou autentizaci ze strany vydavatele v okamžiku, kdy právoplatný držitel karty poprvé registruje údaje o kartě. 7.8 KH Poskytovatelé řešení pro elektronické peněženky by měly podporovat silnou autentizaci klienta v okamžiku, kdy se klienti přihlašují k platebním službám elektronické peněženky nebo provádějí karetní transakce přes internet. Pro předem stanovené kategorie transakcí s nízkým rizikem, např. na základě analýzy transakčního rizika, anebo pro platební transakce týkající se malých částek ve smyslu směrnice o platebních službách by bylo možné zvážit používání alternativních autentizačních metod. 7.9 KH [karty] U virtuálních karet by prvotní registrace měla probíhat v bezpečném a důvěryhodném prostředí23. Silná autentizace klienta by mělo být vyžadováno pro účely procesu vygenerování údajů o virtuální kartě, pokud je karta vydávána v prostředí internetu.
Viz definice platebních prostředků pro platby malých částek v článku 34 odst. 1 a v článku 53 odst. 1 směrnice o platebních službách. 22 Tento režim odpovědnosti by měl stanovit, že PPS musí odškodnit ostatní PPS za případné podvody vyplývající ze slabé autentizace. 21
11 ECB Doporučení pro bezpečnost internetových plateb Leden 2013
7.10 KH PPS by měli zajistit řádnou vzájemnou autentizaci při komunikaci s elektronickými obchodníky za účelem zadávání internetových plateb a přístupu k citlivým platebním údajům. 7.1 OP [karty] Elektroničtí obchodníci by mohli podpořit silnou autentizaci držitele karty ze strany vydavatele při karetních transakcích přes internet. 7.2 OP Pro účely pohodlí klienta by PPS mohli zvážit používání jediného nástroje pro silnou autentizaci klienta pro všechny internetové platební služby. To by mohlo vést ke zvýšení akceptace daného řešení mezi klienty a přispět k řádnému užívání. 7.3 OP Silná autentizace klienta by mohla zahrnovat prvky spojující autentizaci s konkrétní částkou a příjemcem platby. To by mohlo klientům poskytnout zvýšenou jistotu při schvalování plateb. Technologické řešení umožňující propojení údajů týkajících se silné autentizace a údajů o transakci by mělo být odolné vůči případné manipulaci. Doporučení č. 8: Registrace a poskytnutí autentizačních nástrojů anebo softwaru dodávaného klientům PPS by měli zajistit, aby registrace klientů a prvotní poskytnutí autentizačních nástrojů nezbytných pro využívání internetové platební služby anebo dodání s platbami souvisejícího softwaru klientům probíhaly bezpečným způsobem. 8.1 KH Registrace a poskytnutí autentizačních nástrojů anebo s platbami souvisejícího softwaru dodávaného klientovi by měly splňovat následující požadavky. -
Příslušné procesy by měly být prováděny v bezpečném a důvěryhodném prostředí, přičemž by měla být zohledněna potenciální rizika související se zařízeními, která nejsou pod kontrolou daného PPS.
-
Měly by být zavedeny účinné a bezpečné postupy pro doručení osobních přihlašovacích údajů, s platbami souvisejícího softwaru a veškerých personalizovaných zařízení souvisejících s internetovými platbami. Software dodávaný po internetu by měl být daným PPS i digitálně podepsán, aby si mohl klient ověřit, že je software pravý a že do něj nebylo nijak zasahováno.
-
[karty] U karetních transakcí by měl mít klient možnost zaregistrovat se pro silnou autentizaci nezávisle na konkrétním internetovém nákupu. Je-li během on-line nakupování nabídnuta aktivace, mělo by to být provedeno přesměrováním klienta do bezpečného a důvěryhodného prostředí.
8.2 KH [karty] Vydavatelé by měli aktivně podporovat registraci držitelů karet k silné autentizaci a umožnit svým držitelům karet obejít registraci pouze ve výjimečném a
Mezi prostředí, za která nese PPS odpovědnost a kde je zajištěna řádná autentizace klienta a PPS nabízejícího danou službu, jakož i ochrana důvěrných či citlivých informací, patří: i) provozovny PPS; ii) internetové bankovnictví či jiná bezpečná webová stránka, např. kde ŘO nabízí srovnatelné bezpečnostní prvky, které jsou mimo jiné definovány v Doporučení č. 4; nebo iii) služby bankomatů (v případě bankomatů je vyžadována silná autentizace. Tato autentizace je obvykle zajišťována pomocí čipu a PIN, nebo pomocí čipu a biometrických prvků.) 23
12 ECB Doporučení pro bezpečnost internetových plateb Leden 2013
omezeném počtu případů, kdy je to ospravedlněno rizikem souvisejícím s konkrétní karetní transakcí. Doporučení č. 9: Pokusy o přihlášení, vypršení platnosti relace, platnost autentizace PPS by měli omezit počet pokusů o přihlášení nebo o autentizaci, stanovit pravidla pro vypršení platnosti relace u internetových platebních služeb a určit časové limity pro platnost autentizace. 9.1 KH Při používání jednorázového hesla pro účely autentizace by PPS měli zajistit, aby doba platnosti těchto hesel byla omezena na nezbytně nutné minimum. 9.2 KH PPS by měli stanovit maximální počet neúspěšných pokusů o přihlášení nebo o autentizaci, po kterém bude přístup k internetové platební službě zablokován (dočasně či trvale). Měli by mít zaveden bezpečný postup pro opětovnou aktivaci zablokovaných internetových platebních služeb. 9.3 KH PPS by měli stanovit maximální lhůtu, po jejímž uplynutí budou automaticky ukončovány neaktivní relace internetových platebních služeb. Doporučení č. 10: Sledování transakcí Ještě před konečným schválením ze strany PPS by měly být zavedeny mechanismy sledování transakcí, jejichž úkolem je předcházet podvodným platebním transakcím, odhalovat je a blokovat s tím, že podezřelé či vysoce rizikové transakce by měly podléhat zvláštnímu prověřovacímu a hodnotícímu procesu. Stejné bezpečnostně-sledovací a schvalovací mechanismy by rovněž měly být zavedeny pro vydávání elektronických oprávnění. 10.1 KH PPS by měli používat systémy pro odhalování a prevenci podvodů, aby zjistili podezřelé transakce ještě před tím, než PPS provede konečné schválení transakcí či elektronických oprávnění. Tyto systémy by měly být založeny například na parametrizovaných pravidlech (jako jsou např. černé listiny napadených či odcizených karetních údajů) a měly by sledovat nestandardní chování klienta nebo jeho přístupového zařízení (jako je např. změna adresy Internetového protokolu (IP)24 nebo rozpětí IP během relace internetových platebních služeb, někdy zjišťované pomocí geolokačních kontrol IP, 25 nestandardní kategorie elektronických obchodníků u konkrétního klienta nebo nestandardní transakční údaje apod.). Tyto systémy by rovněž měly být schopny odhalit příznaky infekce dané relace škodlivými programy (malware) (např. pomocí ověření, zdali se jedná o skript, nebo o živého člověka) a známé scénáře podvodného jednání. Rozsah, složitost a adaptabilita sledovacích řešení – při zachování souladu s platnými právními předpisy na ochranu údajů – by měly být úměrné výsledku hodnocení rizika. 10.2 KH Systémy platebních karet by ve spolupráci se subjekty poskytujícími zúčtovací služby pro platební karty měly vypracovat jednotnou definici kategorií elektronických obchodníků a požadovat po těchto subjektech, aby tuto definici odpovídajícím způsobem začlenili do autorizační zprávy PPS doručované vydavateli. 26 IP adresa je jedinečný číselný kód identifikující každý počítač připojený k internetu. Kontroly „Geo-IP“ ověřují, zdali vydávající (vystavující) země odpovídá IP adrese, z které uživatel zadává danou transakci. 26 Kategorie elektronických obchodníků představují klasifikaci obchodníků podle odvětví hospodářské činnosti. V současné době nejsou kategorie elektronických obchodníků mezi karetními platebními systémy dosud 24 25
13 ECB Doporučení pro bezpečnost internetových plateb Leden 2013
10.3 KH PPS poskytující zúčtovací služby pro platební karty by měli mít zavedeny systémy na odhalování a prevenci podvodů, které by sledovaly aktivity elektronických obchodníků. 10.4 KH PPS by měli provádět veškeré prověřovací a hodnotící procesy v přiměřené lhůtě, aby nedocházelo ke zbytečnému prodlení ve spuštění anebo provádění příslušné platební služby. 10.5 KH Pokud se PPS na základě své politiky řízení rizika rozhodne zablokovat určitou platební transakci, která byla označena za potenciálně podvodnou, měla by tato blokace trvat co možná nejkratší dobu, dokud nebudou příslušné bezpečnostní otázky vyřešeny. Doporučení č. 11: Ochrana citlivých platebních údajů Během uchovávání, zpracovávání a přenosu citlivých platebních údajů by měla být zajištěna jejich ochrana. 11.1 KH Veškeré údaje používané k identifikaci a autentizaci klientů (např. při přihlašování do systému, při zadávání internetových plateb a při vydávání, změnách či rušení elektronických oprávnění), jakož i klientské rozhraní (webová stránka PPS nebo elektronického obchodníka), by měly být řádně zabezpečeny proti krádeži a neoprávněnému přístupu či změnám. 11.2 KH PPS by měli zajistit, aby při výměně citlivých platebních údajů přes internet bylo mezi komunikujícími stranami během celé příslušné komunikační relace používáno bezpečné mezikoncové šifrování 27, aby byla ochráněna důvěrnost a integrita těchto údajů, a to pomocí účinných a všeobecně uznávaných šifrovacích metod. 11.3 PPS nabízející zúčtovací služby pro platební karty by měli svým elektronickým obchodníkům doporučit, aby neuchovávali žádné citlivé platební údaje. V případě, kdy elektroničtí obchodníci nakládají s citlivými platebními údaji (tj. tyto údaje uchovávají, zpracovávají či přenášejí), měli by tito PPS smluvně od elektronických obchodníků vyžadovat, aby měli zavedena nezbytná opatření na ochranu těchto údajů. PPS by měli provádět pravidelné kontroly a v případě, kdy PPS zjistí, že některý elektronický obchodník nakládající s citlivými platebními údaji nemá zavedena nezbytná bezpečnostní opatření, měl by PPS podniknout kroky k vymáhání plnění této smluvní povinnosti, nebo smlouvu vypovědět. 11.1 OP Bylo by žádoucí, aby elektroničtí obchodníci nakládající s citlivými platebními údaji řádně vyškolili své pracovníky odpovědné za řízení rizika podvodů a aby obsah tohoto školení pravidelně aktualizovali, aby bylo zajištěno, že obsah školení odpovídá neustálému vývoji v oblasti bezpečnostních otázek.
standardizovány a nejsou vždy uváděny v autorizační zprávě. Jednotná klasifikace kategorií elektronických obchodníků (která by vycházela např. z evropské klasifikace ekonomických činností NACE) by PPS pomohla analyzovat riziko podvodu spojeného s danou transakcí. 27 Mezikoncové šifrování (end-to-end encryption) představuje šifrování uvnitř nebo na úrovni zdrojového koncového systému, kdy k příslušnému dešifrování dochází pouze uvnitř nebo na úrovni cílového koncového systému. ETSI EN 302 109 V1.1.1 (2003-06).
14 ECB Doporučení pro bezpečnost internetových plateb Leden 2013
INFORMOVANOST A VZDĚLÁVÁNÍ KLIENTŮ A KOMUNIKACE Doporučení č. 12: Vzdělávání klientů a komunikace PPS by měli klientům v případě potřeby poskytovat součinnost a rady, pokud jde o bezpečné používání internetových platebních služeb. PPS by měli komunikovat se svými klienty takovým způsobem, aby je ujistili o pravosti obdržených zpráv. 12.1 KH PPS by měli zajistit alespoň jeden zabezpečený kanál 28 pro nepřetržitou komunikaci s klienty, pokud jde o správné a bezpečné používání internetové platební služby. PPS by měli informovat klienty o tomto kanálu a vysvětlit jim, že jakákoliv zpráva jménem PPS, která je doručována jakýmikoliv jinými prostředky, např. prostřednictvím e-mailu, a která se týká správného a bezpečného používání internetové platební služby, může být nedůvěryhodná. PPS by měl vysvětlit: -
postup, jaký mají klienti použít, pokud chtějí PPS informovat o (předpokládaných) podvodných platbách, podezřelých incidentech či anomáliích během relace internetových platebních služeb anebo o případných pokusech o sociální inženýrství 29;
-
následné kroky, tj. jakým způsobem PPS odpoví klientovi;
-
jakým způsobem PPS informuje klienta o (případných) podvodných transakcích nebo jejich nezadání, nebo jak upozorní klienta na případné útoky (např. phishingové e-maily).
12.2 KH Prostřednictvím zabezpečeného kanálu by PPS měli klienty informovat o aktualizacích bezpečnostních postupů týkajících se internetových platebních služeb. Veškerá upozornění na významná nově vzniklá rizika (např. varování týkající se sociálního inženýrství) by rovněž měla být doručována prostřednictvím zabezpečeného kanálu. 12.3 KH PPS by měli klientům poskytovat součinnost i v souvislosti s veškerými otázkami, stížnostmi, žádostmi o podporu a upozorněními na případné anomálie a incidenty, které se týkají internetových plateb a souvisejících služeb s tím, že klienti by měli být vhodně informováni o tom, jak tuto pomoc (součinnost) získat. 12.4 KH PPS a případně i platební systémy by měly realizovat programy vzdělávání a informovanosti klientů, aby bylo zajištěno, že klienti přinejmenším rozumí tomu, že je potřebné: -
aby chránili svá hesla, bezpečnostní klíče (tokeny), osobní údaje a další důvěrné informace;
-
aby řádně zajistili bezpečnost svého osobního zařízení (např. počítače) pomocí instalací a aktualizací bezpečnostních prvků (antivirový program, firewally, bezpečnostní záplaty);
Např. vyhrazenou poštovní schránku na webových stránkách PPS nebo zabezpečenou webovou stránku. Sociálním inženýrstvím se v této souvislosti rozumí techniky manipulace lidí k získání informací (např. prostřednictvím e-mailu nebo telefonických hovorů), nebo vyhledávání informací ze sociálních sítí, za účelem podvodu nebo získání neoprávněného přístupu k určitému počítači nebo do určité sítě. 28 29
15 ECB Doporučení pro bezpečnost internetových plateb Leden 2013
-
aby vzali v úvahu významné hrozby a rizika související se stahováním softwaru z internetu, pokud nemá klient přiměřenou jistotu, že je software pravý a že do něj nebylo zasahováno;
-
aby používali pravé webové stránky PPS pro internetové platby.
12.5 KH PPS poskytující zúčtovací služby pro platební karty by měli vyžadovat od elektronických obchodníků, aby jasně oddělili procesy související s platbami od online obchodu, aby mohli klienti snadněji zjistit, kdy komunikují s PPS, a nikoliv s příjemcem platby (např. pomocí přesměrování klienta a otevření samostatného okna tak, aby daný platební proces nebyl zobrazen v rámci elektronického obchodníka). 12.1 OP Bylo by žádoucí, aby PPS nabízející zúčtovací služby pro platební karty, zajistili pro své elektronické obchodníky vzdělávací programy v oblasti prevence podvodného jednání. Doporučení č. 13: Oznámení, stanovení limitů PPS by měli stanovit limity pro internetové platební služby a mohli by svým klientům nabídnout možnosti dalšího omezení rizika v rámci těchto limitů. Mohli by rovněž poskytovat služby v podobě zasílání upozornění a správy klientského profilu. 13.1 KH Ještě před poskytnutím internetových platebních služeb klientovi by PPS měli stanovit limity 30 vztahující se na tyto služby (např. maximální částka pro každou jednotlivou platbu nebo kumulativní částka během určité doby) a měli by o nich řádně informovat své klienty. PPS by měli klientům umožnit deaktivovat funkci internetových plateb. 13.1 OP V rámci stanovených limitů by PPS mohli poskytnout svým klientům nástroj na správu limitů internetových platebních služeb v bezpečném a důvěryhodném prostředí. 13.2 OP PPS by mohli klientům zasílat upozornění – např. telefonicky nebo prostřednictvím SMS – na podezřelé či vysoce rizikové platební transakce na základě svých politik řízení rizika. 13.3 OP PPS by mohli klientům umožnit stanovit všeobecná, personalizovaná pravidla jako parametry jejich chování, pokud jde o internetové platby a související služby, např. že budou zadávat platby pouze z určitých konkrétních zemí a že platby zadávané odjinud budou blokovány, nebo že mohou konkrétní příjemce plateb zahrnout na bílou či černou listinu. Doporučení č. 14: Přístup klientů k informacím o zadání a provedení platby PPS by měli svým klientům potvrdit zadání platby a včas jim poskytnout informace nezbytné k tomu, aby si mohli klienti ověřit, že platební transakce byla správně zadána anebo provedena.
Tyto limity mohou být uplatňovány buď všeobecně (tj. na všechny platební prostředky umožňující provádění internetových plateb) nebo individuálně. 30
16 ECB Doporučení pro bezpečnost internetových plateb Leden 2013
14.1 KH [BP/elektronické oprávnění] PPS by měli klientům poskytnout nástroj fungující téměř v reálném čase a umožňující zkontrolování stavu realizace transakcí a umožňující kdykoliv 31 zkontrolovat zůstatky na účtech v bezpečném a důvěryhodném prostředí. 14.2 KH Veškeré podrobné elektronické výpisy by měly být zpřístupněny v bezpečném a důvěryhodném prostředí. Pokud PPS informuje klienty o dostupnosti elektronických výpisů (např. pravidelně v okamžiku vydání pravidelného elektronického výpisu nebo ad hoc po provedení určité transakce) prostřednictvím alternativního kanálu, např. formou SMS, e-mailu či dopisu, neměla by taková sdělení obsahovat citlivé platební údaje s tím, že pokud je obsahovat budou, měly by tyto údaje být zamaskovány.
S výjimkou výjimečné nedostupnosti daného nástroje z důvodu technické údržby nebo z důvodu významných incidentů.
31
17 ECB Doporučení pro bezpečnost internetových plateb Leden 2013
SLOVNÍČEK POJMŮ Pro účely této zprávy jsou definovány následující termíny. Termín Autentikace (Autentication) Autorizace (Authorization) Ověřovací údaje (Credentials)
Závažný platební bezpečnostní incident (Major payment security incident)
Analýza transakčního rizika (Transaction risk analysis)
Virtuální karty (Virtual cards) Řešení peněženky (Wallet solutions)
Definice Postup, při kterém PPS služeb ověří identitu zákazníka. Postup, který kontroluje, zda zákazník nebo PPS má oprávnění provádět určitou činnost, např. oprávnění k převodu finančních prostředků nebo k přístupu k citlivým údajům. Informace – obecně důvěrné – poskytované zákazníkem nebo PSP za účelem autentikace. Ověřovací údaje mohou také představovat fyzický nástroj obsahující informace (např. generátor jednorázových hesel, čipová karta) nebo něco, co si uživatel zapamatuje nebo co sám představuje (např. biometrické charakteristiky). Událost, která má nebo může mít závažný dopad na bezpečnost, integritu nebo kontinuitu souvisejících platebních systémů u PPS a/nebo na bezpečnost citlivých údajů o platbách nebo finančních prostředcích. Posouzení závažnosti incidentu by mělo vzít v úvahu počet potenciálně zasažených zákazníků, rozsah možné škody a dopad na ostatní PPS nebo jiné platební infrastruktury. Vyhodnocení rizika souvisejícího s určitou transakcí s přihlédnutím ke kritériím, jako jsou např. platební chování zákazníka, hodnota příslušné transakce, typ produktu a profil příjemce. Platební řešení na bázi karet, kdy je generováno alternativní dočasné číslo karty se zkrácenou dobou platnosti, omezeným rozsahem použití a přednastaveným limitem výdajů, které může být použito pro internetové nákupy. Řešení, které umožňuje zákazníkovi registraci údajů týkajících se jednoho nebo více platebních nástrojů tak, aby mohl provádět platby u více e-obchodníků.
18 ECB Doporučení pro bezpečnost internetových plateb Leden 2013
PŘÍLOHA: SEZNAM ČLENŮ PODÍLEJÍCÍCH SE NA PRÁCI EVROPSKÉHO FÓRA O BEZPEČNOSTI MALOOBCHODNÍCH PLATEB Členové BE BG CZ DK
Nationale Bank van België/Banque Nationale de Belgique Българска народна банка (Bulgarian National Bank) Česká národní banka Danmarks Nationalbank Finanstilsynet DE Deutsche Bundesbank Bundesanstalt für Finanzdienstleistungsaufsicht EE Eesti Pank Finantsinspektsioon IE Central Bank of Ireland GR Bank of Greece ES Banco de España FR Banque de France Autorité de Contrôle Prudentiel IT Banca d’Italia CY Central Bank of Cyprus LV Latvijas Banka Finanšu un kapitāla tirgus komisija LT Lietuvos bankas LU Banque centrale du Luxembourg Commission de Surveillance du Secteur Financier HU Magyar Nemzeti Bank Pénzügyi Szervezetek Állami Felügyelete MT Central Bank of Malta NL De Nederlandsche Bank AT Oesterreichische Nationalbank Österreichische Finanzmarktaufsicht PL Narodowy Bank Polski Komisja Nadzoru Finansowego PT Banco de Portugal RO Banca Naţională a României SI Banka Slovenije SK Národná banka Slovenska FI Suomen Pankki – Finlands Bank Finanssivalvonta SE Sveriges Riksbank Finansinspektionen UK Financial Services Authority European Banking Autority European Central Bank
19 ECB Doporučení pro bezpečnost internetových plateb Leden 2013
Pozorovatelé IS
Central Bank of Iceland Fjármálaeftirlitið LI Liechtensteinische Landesbank 1861 Finanzmarktaufsicht Liechtenstein NO Norges Bank Finanstilsynet – The Financial Supervisory Authority of Norway European Commission Europol
20 ECB Doporučení pro bezpečnost internetových plateb Leden 2013