Retningslinjer for sikkerhet i internettbetalinger

Seminar retningslinjer for sikkerhet for
internettbetalinger
Olav Johannessen
Atle Dingsør
Seksjonssjef
Tilsynsrådgiver
Seksjon for tilsyn med IT og betalingstjenester
Agenda
9.30-10.00
Registrering
Noen praktisk opplysninger
10.00-10.20 Bakgrunn for innføring av retningslinjene
10.20-12.30 Gjennomgang av retningslinjene
12.30-13.15 Lunsj
13.15-13.35 Plan for etterlevelse og oppfølging av retningslinjene
13.35-14.00 Finanstilsynets oppfølging av retningslinjene
14.00-15.00 Ofte stilte spørsmål
2
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Historikk
• SecuRe Pay (European Forum for sikkerheten Retail Payments) ble etablert
som et frivillig samarbeids initiativ i regi av ECB (den europeiske
sentralbanken)
• Omfatter relevante myndigheter fra det europeiske økonomiske
samarbeidsområdet (EØS).
• Hensikten var å legge til rette for forståelse av problemstillinger knyttet til
sikkerheten for elektroniske betalingstjenester i detaljhandelen.
• SecuRe Pay utarbeidet retningslinjene for sikkerhet for internettbetalinger i
2013. Etterlevelsen var basert på frivillighet og det ble etter hvert erkjent et
behov for et sterkere legalt trykk.
• ECB og EBA enige om at dette kunne gjøres ved at retningslinjene ble
utferdiget fra EBA.
3
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Bakgrunn retningslinjer for sikkerhet
for internettbetalinger
• Bekymring for svindel-økningen knyttet til internettbetalinger, særlig for
CNP (card-not-present).
• Behov for mer trygge rammer for nettbetaling i hele EU/EØS.
• Behov for å etablere et minimums sikkerhetskrav som Payment Services
Providers (PSP) i EU/EØS forventes å gjennomføre.
• Retningslinjene for sikkerhet for internettbetalinger er basert på
anbefalingene fra SecuRe Pay med noen modifikasjoner.
• Retningslinjer for sikkerhet for internettbetalinger gir det rettslige grunnlaget
for å oppnå like konkurransevilkår for alle PSPer i hele EU/EØS og gir
støtte til utvikling av e-handel samtidig som man sikrer tilstrekkelig
beskyttelse av forbrukere.
4
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Tap CNP
Tabell 1: Tap ved bruk av betalingskort (tall i hele tusen kroner)
Svindeltype betalingskort
Misbruk av kortinformasjon, Card-Not-Present
(CNP) (internetthandel m.m.)
TOTALT
2011
2012
2013
2014
24 190
35 701
51 954
72 056
125 718
135 153
140 043
164 113
Finanstilsynets ROS 2014
Kilde, ECBs 4 rapport om tap på kort av 2014
5
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Det regulatoriske landskapet
Betalingssystemloven
§ 3-3
Forskrift om systemer for
betalingstjenester
(Under høring)
Retningslinjer
for sikkerhet ved
Internettbetalinger
6
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Betalingssystemloven
Kapittel 3. Systemer for betalingstjenester
§ 3-1. Formål
• Formålet med bestemmelsene i dette kapittel er å bidra til at systemer for betalingstjenester
innrettes og drives slik at hensynet til sikker og effektiv betaling og til rasjonell og samordnet
utførelse av betalingstjenester ivaretas.
§ 3-2. Meldeplikt
• Det skal uten unødig opphold gis melding til Finanstilsynet om etablering og drift av system for
betalingstjenester.
• Meldingen skal inneholde opplysninger om:
a)
b)
c)
d)
avtalene mellom deltakende institusjoner om overføring eller uttak av betalingsmidler,
avtalene om tilknytning av brukersteder,
avtalene mellom systemer for betalingstjenester,
bruk av betalingskort, tallkoder eller annen form for selvstendig brukerlegitimasjon som skal benyttes ved
betaling.
§ 3-3. Alminnelige systemkrav
• Systemer for betalingstjenester skal innrettes og drives i samsvar med formålet i § 3-1.
Finanstilsynet kan gi nærmere regler om standardisering av avtaler, vilkår, tekniske forhold
m.v. for systemer for betalingstjenester.
• Finner Finanstilsynet at et system ikke innrettes eller drives i samsvar med bestemmelser fastsatt i
eller i medhold av lov, kan Finanstilsynet gi den institusjonen som driver systemet de pålegg som er
nødvendige for å rette på forholdet.
7
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Forskrift om systemer for betalingstjenester
Nærmere om forslag til system- og sikkerhetskrav
•
Det foreslås
– at foretak som tilbyr elektroniske betalingstjenester, skal gjennomføre løpende risiko- og
sårbarhetsanalyser
– enkelte minimumskrav til sikkerhet, herunder påloggingsmekanismer, krav til kryptering og
betryggende utlevering av identitetskjennetegn
•
•
•
Bestemmelsene antas å være særlig nyttig ved etablering av nye løsninger utenfor de
tradisjonelle samarbeidsløsningene.
Kravene samsvarer med prinsippene som ligger til grunn for den omforente europeiske
standarden (SecuRe Pay). Basert på SecuRe Pay, har EBA fastsatt retningslinjer for sikkerhet
for internett-betalinger, gjeldende fra 1. august 2015.
Kun institusjoner med konsesjon til å drive betalingstjenester kan drive systemer for
betalingstjenester.
– Forskriftsforslaget retter seg derfor til banker og andre kredittinstitusjoner, betalingsforetak, og epengeforetak mv.
•
8
Dette kan være foretak med norsk konsesjon, eller foretak som driver virksomhet her i riket
basert på tilsvarende tillatelse i annen EØS-stat i samsvar med EU-retten. Finanstilsynet
legger til grunn at kravene som foreslås her vil omfatte de nevnte norske foretak samt foretak
som driver virksomhet i Norge som filial i samsvar med "general good- læren".
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Forskrift om systemer for betalingstjenester
hjemmel i betalingssystemloven § 3-3
§ 1 Virkeområde
Forskriften gjelder for banker, kredittinstitusjoner, e-pengeforetak, betalingsforetak og
filialer av slike foretak med hovedsete i annen stat som omfattes av Det europeiske
økonomiske samarbeidsområde (EØS).
§ 2 Risikovurdering og etterlevelse av regelverk
Foretak som tilbyr elektroniske betalingstjenester skal løpende gjennomføre risiko- og
sårbarhetsanalyser for å sikre tilstrekkelig sikkerhetsnivå. Risiko- og
sårbarhetsanalyser skal gjennomføres som en del av beslutningsgrunnlaget før en ny
betalingstjeneste lanseres og ved hendelser eller endringer av betydning for
sikkerhetsnivået.
Foretaket skal etablere system for å sikre etterlevelse av gjeldende regelverk,
bransjens selvregulering og interne rutiner.
9
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Forskrift om systemer for betalingstjenester
hjemmel i betalingssystemloven § 3-3
§ 3 Sikkerhetskrav
Foretaket som tilbyr elektroniske betalingstjenester skal etablere tiltak for å sikre
nødvendig konfidensialitet, integritet og tilgjengelighet for tjenestene. Gjeldende
nasjonale standarder og internasjonalt anerkjente standarder skal følges.
Foretaket skal beskytte tjenesten i sin helhet (ende til ende) ved hjelp av logiske og
fysiske sikringstiltak. Kommunikasjon over åpne nett, herunder internett og telenett, skal
være kryptert. Foretakets risiko- og sårbarhetsvurdering skal legges til grunn for å
avklare behov for tiltak.
For autentisering av kunden skal foretaket ha en sikker påloggingsmekanisme.
Foretaket skal sikre at utlevering av identitetskjennetegn skjer på betryggende måte.
Videre skal foretaket sikre at kunden på en hensiktsmessig måte kan beskytte sine
identitetskjennetegn, og foretaket skal etablere løsninger som gjør at kunden kan
sperre videre bruk av identitetskjennetegnene.
Foretaket skal overvåke og måle datatrafikk for betalingstjenester for å kunne avdekke
og hindre uautorisert bruk av tjenesten.
10
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Retningslinjer for sikkerhet ved
Internettbetalinger
•
Regulatorisk er retningslinjene utarbeidet med bakgrunn i det eksisterende
betalingstjenestedirektivet i EU og som er innarbeidet i norsk rett i bl.a.
Finansavtaleloven.
•
Retningslinjene fra det europeiske banktilsynet (EBA) er adressert til
finansinstitusjoner/PSPer så vel som til nasjonale myndigheter, som begge skal
gjøre sitt ytterste for å etterleve dem.
•
Norge har sagt de vil «comply» med retningslinjene, hvilket betyr at vi vil håndheve
retningslinjene i vår nasjonale jurisdiksjon.
•
Det betyr at Finanstilsynet vil
– innlemme retningslinjene inn i sin tilsynspraksis og som en del av tilsynsrammeverket på
betalingstjenester
– gjennom tilsyn og overvåkning sikre at retningslinjene anvendes på en ensartet måte
– gjennom sin overvåkning og tilsynspraksis følge opp at betalingsintegratorer, enten de
betraktes som innløsere eller tilbydere av tekniske tjenester, også følger retningslinjene
– gjennom sin overvåkning og tilsynspraksis følge opp at brukerstedene også følger
retningslinjene
11
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Retningslinjer for sikkerhet for
Internettbetalinger - fremover
• PSD2,
– enighet om tekst mai 2015. Forventes signert ila høsten 2015.
– EØS-relevant  gjennom EØS-implementering
– Implementeres i norsk rett
• EBA (Europeiske Banktilsynet) tillagt en rekke oppgaver,
herunder
– Utarbeide regulatoriske tekniske standarder for sikkerhet, bla sterk kunde
autentisering og felles åpne standarder for sikker kommunikasjon.
• Dette vil resultere i endringer i det juridiske landskapet.
12
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til
kunden.
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10.
Transaksjonsovervåking
11.
Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12.
Kundeopplæring og kommunikasjon
13.
Meldinger, grenser
14.
Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den
13
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Målsetting med gjennomgangen
«Målsettingen for gjennomgangen er å gi deltakerne en
felles forståelse av retningslinjene og krav til tilpasninger i løsningene
som de tilbyr, samt innsyn i hvordan tilsynet vil følge opp etterlevelse».
Vurderingskriterier:
https://www.ecb.europa.eu/pub/pdf/other/assessmentguidesecurityinter
netpayments201402en.pdf
«Vurderingskriteriene skal bidra til felles fortolkning av retningslinjene».
«Level playing field»
14
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
1.
2.
3.
4.
5.
6.
7.
8.
9.
15
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
Bidra i kampen mot svindel
Øke tilliten til internettbetalinger
«Level playing field»
Generiske – «future proof»
Forutsigbarhet – «future proof»
Oppdateres i takt med trusselbildet
Løsningsnøytral
Uavhengig av brukerterminal
Minimumskrav – ikke ønske om detaljstyring
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Målsetting med retningslinjene:
1.
Bidra i kampen mot svindel
2.
Øke tilliten til internettbetalinger
3.
«Level playing field»
4.
Generiske – «future proof»
5.
Forutsigbarhet – «future proof»
6.
Oppdateres i takt med trusselbildet
7.
Løsningsnøytral
8.
Uavhengig av brukerterminal
9.
Minimumskrav – ikke ønske om detaljstyring
See, for example, the third card fraud report of the ECB, which underlines
that with €794 million in fraud losses in 2012, card-not-present fraud was not
only the largest category in absolute value, but also the one with the highest
growth (up 21.2% from 2011)
(http://www.ecb.europa.eu/pub/pdf/other/cardfraudreport201402en.pdf)
16
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Målsetting med retningslinjene:
1.
Bidra i kampen mot svindel
2.
Øke tilliten til internettbetalinger
3.
«Level playing field»
4.
Generiske – «future proof»
5.
Forutsigbarhet – «future proof»
6.
Oppdateres i takt med trusselbildet
7.
Løsningsnøytral
8.
Uavhengig av brukerterminal
9.
Minimumskrav – ikke ønske om detaljstyring
17
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Målsetting med retningslinjene:
1.
Bidra i kampen mot svindel
2.
Øke tilliten til internettbetalinger
3.
«Level playing field»
4.
Generiske – «future proof»
5.
Forutsigbarhet – «future proof»
6.
Oppdateres i takt med trusselbildet
7.
Løsningsnøytral
8.
Uavhengig av brukerterminal
9.
Minimumskrav – ikke ønske om detaljstyring
Retningslinjene utgjør minimum forventninger.
Uavhengig av disse har PSP-ene ansvar for å overvåke og vurdere
risikoene knyttet til betalingstjenestene, utvikle sine egne detaljerte
sikkerhetspolicyer og implementere tilstrekkelig sikkerhet,
beredskapsløsning, hendelseshåndtering og reserveløsninger som er
tilpasset risikoene.
18
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
•
Omfang
•
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
•
Ledelse
•
Risikovurdering
•
Hendelsesovervåking og rapportering.
•
Risikokontroll og risikoreduksjon
•
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
•
Innledende kundeidentifisering, informasjon
•
Sterk kundeautentisering.
•
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
•
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
•
Transaksjonsovervåking
•
Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
•
Kundeopplæring og kommunikasjon
•
Meldinger, grenser
•
Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
Omfang (Hvem):
• Alle PSP-er som tilbyr betalingstjenester på internett, slik det er definert i
PSD
• Ansvarlige for betalingsordninger (kort, kredit overføringer, direkte
debitering etc.)
19
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Omfang (Hvem):
•
•
Alle PSP-er som tilbyr betalingstjenester på internett, slik det er definert i PSD
Ansvarlige for betalingsordninger (kort, kredit overføringer, direkte debitering etc).
1. This Directive lays down the rules in accordance with which
Member States shall distinguish the following six categories of
payment service provider:
(a) credit institutions within the meaning of Article 4(1)(a) of
Directive 2006/48/EC;
(b) electronic money institutions within the meaning of
Article 1(3)(a) of Directive 2000/46/EC;
(c) post office giro institutions which are entitled under
national law to provide payment services;
(d) payment institutions within the meaning of this Directive;
(e) the European Central Bank and national central banks
when not acting in their capacity as monetary authority or
other public authorities;
(f) Member States or their regional or local authorities when
not acting in their capacity as public authorities.
20
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Omfang (Hvem):
•
•
Alle PSP-er som tilbyr betalingstjenester på internett, slik det er definert i PSD
Ansvarlige for betalingsordninger (kort, kredit overføringer, direkte debitering etc).
Ansvarlige for betalingsordninger (kort, kredit overføringer, direkte debitering etc).
(Eng.): «governance authorities of payment schemes"
21
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
•
Omfang
•
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
•
Ledelse
•
Risikovurdering
•
Hendelsesovervåking og rapportering.
•
Risikokontroll og risikoreduksjon
•
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
•
Innledende kundeidentifisering, informasjon
•
Sterk kundeautentisering.
•
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
•
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
•
Transaksjonsovervåking
•
Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
•
Kundeopplæring og kommunikasjon
•
Meldinger, grenser
•
Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
Omfang (Hva)
Hensikten med retningslinjene er å definere felles minimumskrav for
internettbetalingene som er listet nedenfor, uansett hvilket utstyr som benyttes for
tilgang til tjenesten:
1. [kort] utførelse av kortbetalinger på internett, inkludert betalinger med virtuelle kort
og registrering av kortbetalingsdata for bruk i "lommebok-løsninger".
2. [kreditt-overføringer] gjennomføring av kredittoverføringer (CT-er) på internett
3. [elektroniske betalingsoppdrag] registrere og endre elektroniske oppdrag for
direkte debitering
4. [e-penger] overføring av elektroniske penger mellom to e-penge kontoer via
internett
22
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
•
Omfang
•
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
•
Ledelse
•
Risikovurdering
•
Hendelsesovervåking og rapportering.
•
Risikokontroll og risikoreduksjon
•
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
•
Innledende kundeidentifisering, informasjon
•
Sterk kundeautentisering.
•
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
•
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
•
Transaksjonsovervåking
•
Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
•
Kundeopplæring og kommunikasjon
•
Meldinger, grenser
•
Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
Unntatt fra retningslinjene er:
•
•
•
•
•
•
•
23
Andre internett tjenester som tilbys av en PSP via betalingsnettsiden (eks. elektronisk
megling, online kontraktsinngåelse)
Betalinger der instruksjonene gis via post, telefon, stemme post, eller SMS-basert teknologi
Mobile betalinger som ikke er basert på nettleser
Kredittoverføringer der en tredjepart aksesserer kundens betalingskonto
Betalingstransaksjoner utført av et foretak via dedikerte nettverk
Kortbetalinger ved bruk av anonyme eller ikke ladbare fysiske eller virtuelle forhåndsbetalte
kort der det ikke er noe fast kundeforhold mellom usteder og kortholder
Avregning og oppgjør av betalingstransaksjoner
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
•
Omfang
•
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
•
Ledelse
•
Risikovurdering
•
Hendelsesovervåking og rapportering.
•
Risikokontroll og risikoreduksjon
•
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
•
Innledende kundeidentifisering, informasjon
•
Sterk kundeautentisering.
•
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
•
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
•
Transaksjonsovervåking
•
Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
•
Kundeopplæring og kommunikasjon
•
Meldinger, grenser
•
Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
Virtuelt kort er en kortbasert betalingsløsning der et alternativt,
midlertidig kortnummer med en redusert gyldighetsperiode, begrenset
bruk og forhåndsdefinert beløpsgrense blir generert og som kan brukes
til internett kjøp.
Lommebok-løsning er en løsning som tillater kunden å registrere data
knyttet til en eller flere betalingsinstrumenter for å kunne betale hos
flere brukersteder.
24
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
Sikkerhets-policy for internettbetalinger
Dokumentert
Sikkerhetsmål og risikoapetitt
Roller og ansvar
Direkte rapportering til styre
25
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
Formål og organisering av informasjonssikkerhet
Prinsipper for sikker bruk og administrasjon av informasjon og IT-ressurser
Roller og ansvar, tiltak og prosesser
Personellsikkerhet
Logisk/fysisk sikkerhet
Sikkerhetstiltak for utkontrakterte tjenester
Dokumentert og gjort kjent
For GA’s policy som gjelder for alle scheme medlemmer har GA
bestemmelser eller avtalefestet
a) at alle scheme medlemmene skal etterleve GAs policy
b) at GA kan kontrollere og pålegge utbedringer
26
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
Minst en gang hvert år, etter alvorlige hendelser og nye trusler, ved store
endringer i infrastruktur eller drift
i. Tekniske løsninger
ii. Tjenester som er utkontraktert til eksterne leverandører
iii. Kundens tekniske miljø
Overvåking av sikkerhetstrusler
27
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
Prosess for å overvåke, håndtere og følge opp sikkerhetshendelser og
sikkerhetsrelaterte kundeklager og rapportere slike hendelser til ledelsen
PSP skal informere ansvarlige i betalingsordningen
Overvåke, ta i mot, følge opp sikkerhetsrelaterte kundeklager
Brukersteder avtaleforpliktet til å samarbeide ved hendelser
28
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
Tiltak i tråd med politikken
Flere lag – hvis et lag svikter, fanges feilen av neste lag
Arbeidsdeling
Tilgang: etter behov, fra gang til gang, så avgrenset som mulig
Herde servere
Applikasjonstilganger
EV-sertifikater
Teste at tiltakene virker
Utkontraktering
Brukersteder
29
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Tiltak i tråd med politikken
Flere lag – hvis et lag svikter, fanges feilen av neste lag
Arbeidsdeling
Tilgang: etter behov, fra gang til gang, minst mulig
Herde servere
Applikasjonstilganger
EV-sertifikater
Industri standarder for herding: (eks. CICS, ISP, SANS, NIST, etc.)
Endre standard ID og PW (eks. administrator) før installering
Tillate kun nødvendige porter, protokoller, tjenester
Fjerne all unødvendig funksjonalitet, som scripts, drivere, funksjoner,
subsystemer og filsystemer og unødvendige server applikasjoner
30
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
Krav om sporing av transaksjoner og elektroniske oppdrag
Transaksjonsnummer, tids-stempler, parameterendringer, tilgang til
transaksjoner og elektroniske oppdrag
Logg-filer som sporer endringer, slettinger, tillegg til transaksjoner eller
elektroniske oppdrag
Spørring og analyse av transaksjoner, elektroniske oppdrag og loggene
31
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
«Kjenn din kunde»:
Hvis det ser ut som en gås, går som gås og kvekker som en gås…. Ja
da er det vel en gås da.
3. parts bekreftelse – folkeregister, telefon/strøm, betaling av lite beløp
Kunden skal identifiseres i tråd med anti-hvitvaskings reglene
Kunden skal bekrefte at hun ønsker å benytte tjenestene før det gis
tilgang
Kunden skal informeres om krav til utstyr og prosedyrer som skal
følges og risikoen
Ja, det ser ut som en gås, går som gås og kvekker som en gås…. Ja
da er det vel en gås da.
32
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
Gjelder for:
1. tilgang til og/eller endring av sensitive betalingsdata
2. betalinger
33
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
Sensitive betalingsdata:
Data som kan benyttes til å gjennomføre svindel
1. Data som iverksetter en betaling
2. Autentiseringsdata
3. Data som brukes for å bestille betalingsinstrumenter eller
autentiseringsmekanismer
4. Data, parametere og programvare som, hvis de endres, kan
influere på mulighetene for verifisere betalingstransaksjoner,
autorisere faste oppdrag eller kontrollere kontoen, slik som
«svarte» og «hvite» lister, kundedefinerte beløpsgrenser, etc.
34
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Sensitive betalingsdata:
Data som kan benyttes til å gjennomføre svindel
1.
2.
3.
4.
Data som benyttes for å iverksette en betaling
Autentiseringsdata
Data som brukes for å bestille betalingsinstrumenter eller autentiseringsmekanismer
Data, parametere og programvare som, hvis de endres, kan influere på mulighetene for
verifisere betalingstransaksjoner, autorisere faste oppdrag eller kontrollere kontoen, slik som
«svart» og «hvite» lister, kundedefinerte beløpsgrenser, etc.
• Kontonummer (BIC er ikke sensitive betalingsdata)
• Kortdata (PAN, utløpsdato, CVx2)
35
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Sensitive betalingsdata:
Data som kan benyttes til å gjennomføre svindel
1.
2.
3.
4.
Data som benyttes for å iverksette en betaling
Autentiseringsdata
Data som brukes for å bestille betalingsinstrumenter eller autentiseringsmekanismer
Data, parametere og programvare som, hvis de endres, kan influere på mulighetene for
verifisere betalingstransaksjoner, autorisere faste oppdrag eller kontrollere kontoen, slik som
«svart» og «hvite» lister, kundedefinerte beløpsgrenser, etc.
Data som benyttes til autentisering:
•
•
•
•
36
Data som identifiserer kunden (kundenummer, logon-id)
Passord, koder, PINs, hemmelige spørsmål, koder for å resette passord
Telefonnumre
Sertifikater
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Sensitive betalingsdata:
Data som kan benyttes til å gjennomføre svindel
1.
2.
3.
4.
Data som benyttes for å iverksette en betaling
Autentiseringsdata
Data som brukes for å bestille betalingsinstrumenter eller autentiseringsmekanismer
Data, parametere og programvare som, hvis de endres, kan influere på mulighetene for
verifisere betalingstransaksjoner, autorisere faste oppdrag eller kontrollere kontoen, slik som
«svart» og «hvite» lister, kundedefinerte beløpsgrenser, etc.
Data som benyttes for å bestille betalingsinstrumenter eller
autentiseringsmekanismer på nett som skal sendes til kunden:
• Adresse
• Telefonnummer, e-post adresse
37
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Sensitive betalingsdata:
Data som kan benyttes til å gjennomføre svindel
1.
2.
3.
4.
Data som benyttes for å iverksette en betaling
Autentiseringsdata
Data som brukes for å bestille betalingsinstrumenter eller autentiseringsmekanismer
Data, parametere og programvare som, hvis de endres, kan influere på mulighetene for
verifisere betalingstransaksjoner, autorisere faste oppdrag eller kontrollere kontoen, slik som
«svart» og «hvite» lister, kundedefinerte beløpsgrenser, etc.
Data, parametere og programvare som er lagret i PSP-ens systemer
som, hvis de endres, kan ødelegge sikkerheten knyttet til levering av
betalingsinstrumenter eller autentiseringsmekanismer til kunden,
eller som kan endre kundens mulighet til å verifisere
betalingstransaksjoner, autorisere faste oppdrag eller kontrollere
kontoen, eks.
• «svartelister» og «hvitelister» lister, kundedefinerte grenser etc.
• Data som nevnt i 1-3, avhengig av konteksten
38
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
To av disse tre:
1. Noe bare brukeren vet («vet elementet»)
Statisk passord, kode, PIN
2. Noe bare brukeren har («har elementet»)
Token, smart-kort, mobiltelefon
3. Noe brukeren er
Biometri som for eksempel fingeravtrykk («er-elementet»)
39
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
Minst ett av elementene skal
1. Ikke kunne kopieres
2. ikke kunne stjeles via internett (kryptografiske nøkler, sensitiv
programvare eller private signeringsnøkler)
Gjensidig uavhengige; kompromittering av ett element kompromitterer
ikke de(n) andre
Autentiseringsprosedyren skal beskytte autentiseringsdata
40
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
7.1 [KO/e-oppdrag/e-penger] PSP-er bør foreta sterk kundeautentisering når
kunden godkjenner internett betalinger (inkludert bunter med KO-er) og når
kunden gir eller endrer oppdrag for direkte debitering. Men PSP-er kan vurdere å
benytte alternative metoder for kundeautentisering for:
• utgående betalinger til tiltrodde mottakere som er inkludert i kundens hvitelister
som er etablert tidligere
• transaksjoner mellom to kontoer som tilhører samme kunde
• overføringer innen samme PSP i henhold til en risikovurdering
• lav-verdi transaksjoner, slik de er definert i PSD
• Se definisjonen av lav-verdi transaksjoner i Artikkel 34(1) og 53(1) i PSD
41
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
7.2 Tilgang til eller endring av sensitive betalingsdata (inklusive opprettelse eller
endring av hvitelister) krever sterk kundeautentisering. Hvis PSP-en tilbyr
utelukkende konsulenttjenester, uten å vise sensitive kunde eller betalingsdata,
eks. kortdata, som kunne vært misbrukt til svindel, kan PSP-en tilpasse
autentiseringskravene til dette basert på en risikovurdering.
42
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
7.3 [kort] Alle utstedere bør støtte sterk kortholderautentisering for
korttransaksjoner. Alle kort som utstedes må være teknisk klargjort (registrert) for
sterk kundeautentisering.
43
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
7.4 [kort] PSP-er som tilbyr innløser-tjenester bør støtte teknologier som gjør
utsteder i stand til å foreta sterk kundeautentisering av kortholder for kortordningen
som innløser deltar i.
44
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
7.5 PSP-er som tilbyr innløser-tjenester bør kreve at brukerstedene støtter
løsninger som gjør utsteder i stand til å foreta sterk kundeautentisering av
kortholder for korttransaksjoner på internett. Bruk av alternative
autentiseringsmekanismer kan vurderes for predefinerte kategorier av lav-risiko
transaksjoner, eksempelvis basert på en transaksjonsrisikoanalyse, eller lav-verdi
betalinger, slik de er definert i PSD.
45
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
7.6 [kort] For kortordninger som tjenesten støtter, skal tilbydere av
lommebokløsninger kreve sterk kundeautentisering av utsteder når brukeren første
gang registrerer kortdata.
46
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
7.7 Tilbydere av lommebokløsninger bør støtte sterk kundeautentisering når
kunden logger inn på lommeboken eller utfører korttransaksjoner på internett. Bruk
av alternative autentiseringsmekanismer kan vurderes for predefinerte kategorier
av lav-risiko transaksjoner, eksempelvis basert på en transaksjonsrisikoanalyse,
eller lav-verdi betalinger, slik de er definert i PSD.
Risikoanalyse:
Arten av produkter/tjenester som selges (eks. fysiske varer/tjenester vs. digitale varer/tjenester)
Leveringskanal (fysisk vs. elektronisk)
Kundeadferd
Kvaliteten på brukerstedets svindelovervåking
Transaksjonsanalyse mot disse kriteriene
47
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
7.8 [kort] For virtuelle kort bør førstegangs registrering skje i trygge og tiltrodde
omgivelser. Sterk kundeautentisering bør kreves for generering av kortdata hvis
kortet utstedes på internett.
48
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
7.9 PSP-er bør sikre gjensidige autentisering under kommunikasjon med
brukersteder i den hensikt å igangsette internettbetalinger og aksessere sensitive
betalingsdata.
49
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
Trygge og tiltrodde omgivelser
Programvare bør være digitalt signert
Kunden bør kunne velge å registrere seg for sterk autentisering uavhengig av
et spesifikt internett-kjøp
Utstedere bør aktivt oppfordre til å registrere seg for sterk kundeautentisering
Hvis PSP-en tilbyr sterk kundeautentisering for et kjøp, skjer det ved omruting
til sikker og tiltrodde omgivelser?
50
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
Begrense antall innloggingsforsøk og autentiseringsforsøk
Sesjonsvarighet betaling
Sesjonsvarighet autentisering
Maksimum antall forsøk
Sikker prosedyre for reaktivering
51
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
Før godkjenning av transaksjonen
Spesiell analyse og vurdering av transaksjoner med høy risiko
Tilsvarende for registrering av elektroniske oppdrag
Svindeloppdagende og avvergende
Stjålne kort, unormal kundeatferd, geolokasjon
Tegn på ondartet kode
Kjente svindelscenarier
Overvåke brukerstedene
Blokkering i så kort tid som mulig
52
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
Beskytte autentiseringen begge veier
Ende-til-ende kryptering
Kreve og kontrollere at brukerstedene beskytter kundedata
53
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
11.1 Alle data som benyttes for å identifisere og autentisere kunden (eks.
ved innlogging, ved oppstart av internettbetalinger, og under opprettelse,
endring eller avslutning av e-oppdrag), og kundegrensesnittet (Webstedet
til PSP-en eller brukerstedet), bør være beskyttet mot tyveri og
uautorisert tilgang eller endring.
54
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
11.2 For å sikre konfidensialitet og integritet på dataene, bør PSP-ene
sikre at ende-til-ende kryptering ved hjelp av sterke og anerkjente
krypteringsmekanismer er etablert mellom de kommuniserende parter når
sensitive betalingsdata utveksles over internett.
55
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
11.3 PSP-er som tilbyr innløser-tjenester bør oppfordre brukerstedene til ikke
å lagre sensitive betalingsdata. I tilfelle brukerstedene behandler, dvs. lagrer,
bearbeider eller overfører sensitive betalingsdata, bør PSP-en
kontraktsmessige kreve at brukerstedet har nødvendig tiltak på plass for å
beskytte dataene. PSP-ene bør foreta jevnlige kontroller og hvis en PSP blir
oppmerksom på at et brukersted som behandler sensitive betalingsdata ikke
har foreskrevet sikkerhet på plass, så skal PSP-en ta skritt for å sikre dette
eller terminere kontrakten.
56
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
Kundestøtte og veiledning etter behov
Sikker kommunikasjonskanal (riktig og sikker bruk, bedragerske transaksjoner,
mistenkelig hendelser, angrep, avvik)
Endringer i sikkerhetsprosedyrer
Opplæring og bevisstgjøringsprogrammer
Klart skille mellom betalingsrelaterte prosesser og butikktjenester
57
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
PSP-en bør sette grenser (transer og/eller omsetning)
Kunden kan sette ytterligere grenser
Varslingstjenester
Kunden kan endre profilen sin (skru av tjenesten)
58
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
Kapittel 1 – Omfang og definisjoner
Omfang
Definisjoner
Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger
Overordnet kontroll og sikkerhet
1.
Ledelse
2.
Risikovurdering
3.
Hendelsesovervåking og rapportering.
4.
Risikokontroll og risikoreduksjon
5.
Sporbarhet
Spesifikke kontroller og sikkerhetstiltak for internett betalinger.
6.
Innledende kundeidentifisering, informasjon
7.
Sterk kundeautentisering.
8.
Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden
9.
Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering
10. Transaksjonsovervåking
11. Beskyttelse av sensitive betalingsdata
Kundeadferd, kundeopplæring og kommunikasjon
12. Kundeopplæring og kommunikasjon
13. Meldinger, grenser
14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den.
PSP-er bør informere kunden om en betaling er påbegynt, og i god tid gi
kunden nødvendig informasjon slik at hun kan kontrollere at betalingen er gyldig
iverksatt og/eller gjennomført.
[KO/e-oppdrag] PSP-er bør tilby kunden en måte å sjekke status på
behandlingen av en transaksjon i nær realtid og en måte å sjekke saldo på til
enhver tid, i en sikker og tiltrodd omgivelse.
59
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
Retningslinjene gjelder fra 1. august 2015
Vurdere løsningene på nytt
Kontraktene med brukersteder
Oversikt over brukersteder, med/uten sterk kundeautentisering
Kontraktene med underleverandører
Kundeavtaler (eksplisitt godkjenning, ansvar ifbm bruk mot ulovlige
brukersteder)
Kunden har benyttet en tjeneste som er ulovlig
Informasjon til kunden
60
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
Vurderer ikke á priori alle løsninger i markedet
Vurderingsveiledning («Assessment guide»)
FAQ
«Bygge på» (PCI, ISO27001)
Egenevaluering
Stikkprøver ved tilsyn
Teste
Proposjonalitet
Bringe inn for SecuRePay
61
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 1: Er kravene når det gjelder sterk kundeautentisering de
samme for initiering av betaling som for tilgang til sensitive
betalingsdata?
Ja, i prinsipp er kravene de samme.
62
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 2: Hvis en betaler ønsker å benytte en PC til betaling, mottar en
engangskode på mobilen, og PC-en og mobilen er koblet til samme
nettverk, er autentiseringen «sterk»?
Er kanalene tilstrekkelig uavhengige, selv om de deler den samme
dataforbindelsen og data går gjennom den samme ruteren.
Dette kan være sterk autentisering.
Avhengig av implementeringen.
Vurderingsveiledning 7.0.4.
63
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 3: Må de som prosesserer korttransaksjoner følge kravene? I
visse tilfeller er PSP-en også den som prosesserer transaksjonene.
Prosesserer er PSP faller direkte inn under kravene
Prosessering er utkontraktert → kontrakten skal sikre etterlevelse
64
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 4: Må de som prosesserer korttransaksjoner følge kravene? I
visse tilfeller er PSP-en også den som prosesserer transaksjonene.
Prosesserer er PSP faller direkte inn under kravene
Prosessering er utkontraktert → kontrakten skal sikre etterlevelse
65
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 5: Inkluderer begrepet «ansvarlige for betalingsordninger»
(governance authorities for payment schemes) enheter som gjør
interbank avregning, slik som Swift-partnere? Er betalinger mellom
foretak omfattet av retningslinjene?
Avregning og oppgjør er utenfor.
Betalinger mellom foretak er omfattet av retningslinjene, unntatt betalinger over
dedikerte nettverk.
66
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 6: Mobilbetalinger som ikke er basert på nettleseren er ikke
omfattet av anbefalingene. Betyr det at person til person apper ikke
er omfattet.
Nei, dette avhenger av applikasjonen. Den faller innenfor dersom den benytter
en underliggende nettleser som spiller sammen med maskinvare på brukerens
mobil.
67
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 7: Skilles det mellom «risikoapetitt» og risikotoleranse.
Sikkerhetspolitikken bør definere sikkerhetsmålsettinger og risikoapetitt.
Risikoapetitt er den risikoen foretaket er villig til å ta, gitt foretakets evne til å
absorbere tap (finansielle, ryktetap, ødelagte systemer) og risikoprofil.
68
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 8: Gjelder retningslinjene for sensitive betalingsdata som
befinner seg i DMZ, eller gjelder de også for betalingsdata i andre
systemer som ikke grenser til Internett.
Retningslinjene gjelder for alle betalingsdata som kan benyttes til å begå
svindel, uavhengig av hvor de prosesseres, lagres eller overføres.
69
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 9: Hvis betalingsløsningen er døgnåpen, må PSP-en ha
døgnåpen tjeneste for håndtering av hendelser?
I følge retningslinjene bør PSP-en ha et system slik at kunden kan rapportere
inn sikkerhetsrelaterte hendelser eller observasjoner som PSP-en kan ta aksjon
på og følge opp. Hendelser kan komme fra andre kilder også.
Proposjonalitet. Løsning som speiler risikoen.
70
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 10: Bør utstederbanken periodisk gjennomgå sikkerheten når
det gjelder kortbetalinger.
Ja, PSP-en bør periodisk gå gjennom sikkerhetstiltak når det gjelder
internettbetalinger, herunder kortbetalinger.
71
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 11: Inkluderer kravet om sporbarhet applikasjonslogger og
systemlogger/revisjonsspor?
Alle transaksjoner og behandling av faste oppdrag skal være sporbare.
Applikasjons- og systemlogger/revisjonsspor skal til sammen gi en global
sporbarhet.
72
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 12: Hva innebærer kravet om at kunden skal bekrefte at hun
ønsker å gjøre internettbetalinger før hun gis tilgang til
internettbetalinger?
Kravet innebærer at kunden:
skal informeres om at tjenesten kan benyttes til internettbetalinger
skal eksplisitt bekrefte (kundekontrakten) at hun ønsker å benytte tjenesten i
forbindelse med internettbetalinger, før hun får tilgang til tjenesten
Hvis hun ikke har avgitt bekreftelse, skal tjenesten ikke kunne benyttes til
internettbetalinger.
73
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 13: Kredit overføringer via internettbank – må det være sterk
kundeautentisering (SKA) for hver transaksjon, eller er det
tilstrekkelig med SKA ved sesjonsoppstart?
Bør være SKA ved hver transaksjon. En transaksjon kan være en bunt.
74
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 14 KC 7.1: Tanking av en e-penge konto – kreves SKA? Hva
med uttak fra en e-penge konto?
Avhenger av tanke-instrumentet og beløpets størrelse. Se KC 7.1 for unntak når
det gjelder tanking fra e-penger, kredit-overføringer og direkte debitering, og 7.5
og 7.8 når det gjelder tanking fra kort.
Tanking innenfor samme PSP eller lav verdi (PSD II) – annen autentisering OK
(risikobasert)
75
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 14 KC 7.1: Tanking av en e-penge konto – kreves SKA? Hva
med uttak fra en e-penge konto?
7.1 KC [CT/e-mandate/e-money] PSPs should perform strong customer
authentication for the customer’s authorisation of internet payment transactions
(including bundled CTs) and the issuance or amendment of electronic direct
debit mandates. However, PSPs could consider adopting
alternative customer authentication measures for:
– outgoing payments to trusted beneficiaries included in previously established
white lists for that customer;
– transactions between two accounts of the same customer held at the same
PSP;
– transfers within the same PSP justified by a transaction risk analysis;
– low-value payments, as referred to in the Payment Services Directive.
76
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 14 KC 7.1: Tanking av en e-penge konto – kreves SKA? Hva
med uttak fra en e-penge konto?
7.5 KC [cards] PSPs offering acquiring services should require their e-merchant
to support solutions allowing the issuer to perform strong authentication of the
cardholder for card transactions via the internet. The use of alternative
authentication measures could be considered for preidentified
categories of low-risk transactions, e.g. based on a transaction risk analysis, or
involving low-value payments, as referred to in the Payment Services Directive.
77
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 15: Er lav verdi alltid 30 Euro?
Avhenger av den nasjonale implementering av PSD. Gjeldende utgave tillater
dobling eller halvering av dette beløpet.
78
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 16. I følge 7.6 bør PSP som ikke støtter SKA være ansvarlig. I
7.5 står at brukersted kan avgjøre om transaksjonen krever SKA eller
ikke. Bør ikke ansvaret da overføres til brukerstedet? Usteder kan bli
sittende med en restrisiko – de kan være lite lønnsomt å kreve
innløseren (PSP) for tapet. Kan usteder i praksis kontrollere risikoen
her?
Hvis brukerstedet tar risikoen, vil innløser PSP kreve at brukerstedet
tar tapet. Det kan også være slik at utsteder krever innløser, som
sender tapet videre til brukerstedet.
Utsteder avgjør på forretningsmessig grunnlag hvilke transaksjoner
hun aksepterer eller om hun avviser transaksjonen der og da.
79
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 17: Hvis PSP-en tilbyr betalingsapper som fungerer som en
browser, kreves det sterk kundeautentisering ifbm
førstegangsregistrering? Er det ok med PIN etter dette hvis kortdata
ikke endres?
Førstegangsregistrering: Ja
Etter dette: Ved innlogging til lommeboken eller ved gjennomføring av
transaksjoner. Alternative autentiseringsmetoder kan vurderes for predefinerte
kategorier av lav-verdi transaksjoner, eks. basert på transaksjons risiko analyse,
eller lav verdi, se PSD.
Transaksjons risiko analyse: fysiske vs. digitale varer og tjenester,
leveringskanal, kundeadferd, svindel overvåkingen som brukerstedet utfører.
80
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 18: Bør utsteder tvinge kortholder til å registrere seg for sterk
autentisering?
Utstedere bør aktivt oppfordre til å registrere seg for sterk autentisering og tillate
kortholder å omgå registrering bare i spesielle tilfeller.
81
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 19: Bør innløsere implementere brukerstedkategorier (i tråd
med de som benyttes i betalingsordningene(«payment schemes»))
og inkludere disse i autorisasjonsmelding som sendes til utsteder,
selv om ikke kategoriene er standardisert enda? Hvordan bør
innløser og betalingsordningene samarbeide for å få opp omforente
kategorier?
Selv om det ikke er standardiserte løsninger på tvers av betalingsordninger
enda, så er informasjonen nyttig i risikosammenheng. Dette bør inngå i
kontrakten med PSP-ene. Kort-ordningene («Card schemes») bør ideelt sett
etablere en standardiseringsgruppe og bli enig med innløsere om definisjoner
når det gjelder brukerstedskategorier.
82
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 21, 10.4: Blokkering av transaksjoner. Hvordan er forholdet til
PSD regler om T+1 transaksjonsbehandling? Hva hvis granskningen
tar lenger tid og T+1 oversittes?
PSD artikkel 55-2 åpner for blokkering. «Hvis rammeavtalen med brukeren
åpner for det, kan PSP blokkere et betalingsinstrument ut i fra objektive grunner
knyttet til sikkerheten i betalingsinstrumentet, uautorisert eller bedragersk bruk
av betalingsinstrumentet, eller - i tilfellet kreditt er knyttet til
betalingsinstrumentet – det er en vesentlig øket risk for at betaler ikke kan gjør
opp.
83
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 22: Når det gjelder retningslinjer om beskyttelse av sensitive
betalingsdata, er retningslinjene sterkere enn de som PCI oppstiller?
Retningslinjene forsøker ikke å definere spesifikke løsninger når det gjelder
sikkerhet eller teknisk. Ei heller endrer de på eksisterende tekniske
industristandarder eller myndighetenes forventninger når det gjelder
databeskyttelse eller kontinuitet. Myndighetene bygge på PSP-ens etterlevelse
av relevante internasjonale standarder.
84
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 23 12.5: Bør betalingen autentiseres av utsteder, uten at
brukerstedet involveres? Betyr det at integrerte løsninger der
brukerstedets nettside inneholder betalingen er forbudt?
Ifølge retningslinjene forventes det at innløser krever at brukerstedet klart skiller
betalings-relaterte prosesser fra butikken for å gjøre det lettere for kunden å slå
fast om hvorvidt de kommuniserer med PSP-en og ikke betalingsmottakeren
(for eksempel ved å omrute kunden og åpne et separat vindu slik at
betalingsprosessen ikke vises i en ramme i brukerstedets nettside.
Dette betyr ikke at integrerte løsninger ikke er tillatt, men de må gjør det mulig
for kunden å slå fast når de kommuniserer med PSP-en.
85
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger
09.30-10.00
10.00-10.20
10.20-12.30
12.30-13.15
13.15-13.35
13.35-14.00
14.00-15.00
Registrering
Bakgrunn for innføring av retningslinjene
Gjennomgang av retningslinjene
Lunsj
Plan for etterlevelse og oppfølging av retningslinjene
Finanstilsynets oppfølging av retningslinjene
Ofte stilte spørsmål
FAQ 24 13.1: Innebærer kravet at et kort skal kunne sperres for
internett, men fortsatt gjelde ved POS?
Nei, ikke som en generell regel. I følge 13.1 bør PSP-en definere grenser
(transaksjon og omsetning) og informere kunden om dette. PSP bør tillate
kunden å skru av internett betaling.
Så hvis kunden ønsker å skru av internett, så ja, dette ville vøre til at
internettfunksjonaliteten på kortet ikke er tilgjengelig, men at kortet vil virke på
POS.
86
26. august 2015
Seminar retningslinjer for sikkerhet for internettbetalinger