Seminar retningslinjer for sikkerhet for internettbetalinger Olav Johannessen Atle Dingsør Seksjonssjef Tilsynsrådgiver Seksjon for tilsyn med IT og betalingstjenester Agenda 9.30-10.00 Registrering Noen praktisk opplysninger 10.00-10.20 Bakgrunn for innføring av retningslinjene 10.20-12.30 Gjennomgang av retningslinjene 12.30-13.15 Lunsj 13.15-13.35 Plan for etterlevelse og oppfølging av retningslinjene 13.35-14.00 Finanstilsynets oppfølging av retningslinjene 14.00-15.00 Ofte stilte spørsmål 2 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Historikk • SecuRe Pay (European Forum for sikkerheten Retail Payments) ble etablert som et frivillig samarbeids initiativ i regi av ECB (den europeiske sentralbanken) • Omfatter relevante myndigheter fra det europeiske økonomiske samarbeidsområdet (EØS). • Hensikten var å legge til rette for forståelse av problemstillinger knyttet til sikkerheten for elektroniske betalingstjenester i detaljhandelen. • SecuRe Pay utarbeidet retningslinjene for sikkerhet for internettbetalinger i 2013. Etterlevelsen var basert på frivillighet og det ble etter hvert erkjent et behov for et sterkere legalt trykk. • ECB og EBA enige om at dette kunne gjøres ved at retningslinjene ble utferdiget fra EBA. 3 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Bakgrunn retningslinjer for sikkerhet for internettbetalinger • Bekymring for svindel-økningen knyttet til internettbetalinger, særlig for CNP (card-not-present). • Behov for mer trygge rammer for nettbetaling i hele EU/EØS. • Behov for å etablere et minimums sikkerhetskrav som Payment Services Providers (PSP) i EU/EØS forventes å gjennomføre. • Retningslinjene for sikkerhet for internettbetalinger er basert på anbefalingene fra SecuRe Pay med noen modifikasjoner. • Retningslinjer for sikkerhet for internettbetalinger gir det rettslige grunnlaget for å oppnå like konkurransevilkår for alle PSPer i hele EU/EØS og gir støtte til utvikling av e-handel samtidig som man sikrer tilstrekkelig beskyttelse av forbrukere. 4 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Tap CNP Tabell 1: Tap ved bruk av betalingskort (tall i hele tusen kroner) Svindeltype betalingskort Misbruk av kortinformasjon, Card-Not-Present (CNP) (internetthandel m.m.) TOTALT 2011 2012 2013 2014 24 190 35 701 51 954 72 056 125 718 135 153 140 043 164 113 Finanstilsynets ROS 2014 Kilde, ECBs 4 rapport om tap på kort av 2014 5 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Det regulatoriske landskapet Betalingssystemloven § 3-3 Forskrift om systemer for betalingstjenester (Under høring) Retningslinjer for sikkerhet ved Internettbetalinger 6 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Betalingssystemloven Kapittel 3. Systemer for betalingstjenester § 3-1. Formål • Formålet med bestemmelsene i dette kapittel er å bidra til at systemer for betalingstjenester innrettes og drives slik at hensynet til sikker og effektiv betaling og til rasjonell og samordnet utførelse av betalingstjenester ivaretas. § 3-2. Meldeplikt • Det skal uten unødig opphold gis melding til Finanstilsynet om etablering og drift av system for betalingstjenester. • Meldingen skal inneholde opplysninger om: a) b) c) d) avtalene mellom deltakende institusjoner om overføring eller uttak av betalingsmidler, avtalene om tilknytning av brukersteder, avtalene mellom systemer for betalingstjenester, bruk av betalingskort, tallkoder eller annen form for selvstendig brukerlegitimasjon som skal benyttes ved betaling. § 3-3. Alminnelige systemkrav • Systemer for betalingstjenester skal innrettes og drives i samsvar med formålet i § 3-1. Finanstilsynet kan gi nærmere regler om standardisering av avtaler, vilkår, tekniske forhold m.v. for systemer for betalingstjenester. • Finner Finanstilsynet at et system ikke innrettes eller drives i samsvar med bestemmelser fastsatt i eller i medhold av lov, kan Finanstilsynet gi den institusjonen som driver systemet de pålegg som er nødvendige for å rette på forholdet. 7 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Forskrift om systemer for betalingstjenester Nærmere om forslag til system- og sikkerhetskrav • Det foreslås – at foretak som tilbyr elektroniske betalingstjenester, skal gjennomføre løpende risiko- og sårbarhetsanalyser – enkelte minimumskrav til sikkerhet, herunder påloggingsmekanismer, krav til kryptering og betryggende utlevering av identitetskjennetegn • • • Bestemmelsene antas å være særlig nyttig ved etablering av nye løsninger utenfor de tradisjonelle samarbeidsløsningene. Kravene samsvarer med prinsippene som ligger til grunn for den omforente europeiske standarden (SecuRe Pay). Basert på SecuRe Pay, har EBA fastsatt retningslinjer for sikkerhet for internett-betalinger, gjeldende fra 1. august 2015. Kun institusjoner med konsesjon til å drive betalingstjenester kan drive systemer for betalingstjenester. – Forskriftsforslaget retter seg derfor til banker og andre kredittinstitusjoner, betalingsforetak, og epengeforetak mv. • 8 Dette kan være foretak med norsk konsesjon, eller foretak som driver virksomhet her i riket basert på tilsvarende tillatelse i annen EØS-stat i samsvar med EU-retten. Finanstilsynet legger til grunn at kravene som foreslås her vil omfatte de nevnte norske foretak samt foretak som driver virksomhet i Norge som filial i samsvar med "general good- læren". 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Forskrift om systemer for betalingstjenester hjemmel i betalingssystemloven § 3-3 § 1 Virkeområde Forskriften gjelder for banker, kredittinstitusjoner, e-pengeforetak, betalingsforetak og filialer av slike foretak med hovedsete i annen stat som omfattes av Det europeiske økonomiske samarbeidsområde (EØS). § 2 Risikovurdering og etterlevelse av regelverk Foretak som tilbyr elektroniske betalingstjenester skal løpende gjennomføre risiko- og sårbarhetsanalyser for å sikre tilstrekkelig sikkerhetsnivå. Risiko- og sårbarhetsanalyser skal gjennomføres som en del av beslutningsgrunnlaget før en ny betalingstjeneste lanseres og ved hendelser eller endringer av betydning for sikkerhetsnivået. Foretaket skal etablere system for å sikre etterlevelse av gjeldende regelverk, bransjens selvregulering og interne rutiner. 9 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Forskrift om systemer for betalingstjenester hjemmel i betalingssystemloven § 3-3 § 3 Sikkerhetskrav Foretaket som tilbyr elektroniske betalingstjenester skal etablere tiltak for å sikre nødvendig konfidensialitet, integritet og tilgjengelighet for tjenestene. Gjeldende nasjonale standarder og internasjonalt anerkjente standarder skal følges. Foretaket skal beskytte tjenesten i sin helhet (ende til ende) ved hjelp av logiske og fysiske sikringstiltak. Kommunikasjon over åpne nett, herunder internett og telenett, skal være kryptert. Foretakets risiko- og sårbarhetsvurdering skal legges til grunn for å avklare behov for tiltak. For autentisering av kunden skal foretaket ha en sikker påloggingsmekanisme. Foretaket skal sikre at utlevering av identitetskjennetegn skjer på betryggende måte. Videre skal foretaket sikre at kunden på en hensiktsmessig måte kan beskytte sine identitetskjennetegn, og foretaket skal etablere løsninger som gjør at kunden kan sperre videre bruk av identitetskjennetegnene. Foretaket skal overvåke og måle datatrafikk for betalingstjenester for å kunne avdekke og hindre uautorisert bruk av tjenesten. 10 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Retningslinjer for sikkerhet ved Internettbetalinger • Regulatorisk er retningslinjene utarbeidet med bakgrunn i det eksisterende betalingstjenestedirektivet i EU og som er innarbeidet i norsk rett i bl.a. Finansavtaleloven. • Retningslinjene fra det europeiske banktilsynet (EBA) er adressert til finansinstitusjoner/PSPer så vel som til nasjonale myndigheter, som begge skal gjøre sitt ytterste for å etterleve dem. • Norge har sagt de vil «comply» med retningslinjene, hvilket betyr at vi vil håndheve retningslinjene i vår nasjonale jurisdiksjon. • Det betyr at Finanstilsynet vil – innlemme retningslinjene inn i sin tilsynspraksis og som en del av tilsynsrammeverket på betalingstjenester – gjennom tilsyn og overvåkning sikre at retningslinjene anvendes på en ensartet måte – gjennom sin overvåkning og tilsynspraksis følge opp at betalingsintegratorer, enten de betraktes som innløsere eller tilbydere av tekniske tjenester, også følger retningslinjene – gjennom sin overvåkning og tilsynspraksis følge opp at brukerstedene også følger retningslinjene 11 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Retningslinjer for sikkerhet for Internettbetalinger - fremover • PSD2, – enighet om tekst mai 2015. Forventes signert ila høsten 2015. – EØS-relevant gjennom EØS-implementering – Implementeres i norsk rett • EBA (Europeiske Banktilsynet) tillagt en rekke oppgaver, herunder – Utarbeide regulatoriske tekniske standarder for sikkerhet, bla sterk kunde autentisering og felles åpne standarder for sikker kommunikasjon. • Dette vil resultere i endringer i det juridiske landskapet. 12 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden. 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den 13 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Målsetting med gjennomgangen «Målsettingen for gjennomgangen er å gi deltakerne en felles forståelse av retningslinjene og krav til tilpasninger i løsningene som de tilbyr, samt innsyn i hvordan tilsynet vil følge opp etterlevelse». Vurderingskriterier: https://www.ecb.europa.eu/pub/pdf/other/assessmentguidesecurityinter netpayments201402en.pdf «Vurderingskriteriene skal bidra til felles fortolkning av retningslinjene». «Level playing field» 14 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 1. 2. 3. 4. 5. 6. 7. 8. 9. 15 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål Bidra i kampen mot svindel Øke tilliten til internettbetalinger «Level playing field» Generiske – «future proof» Forutsigbarhet – «future proof» Oppdateres i takt med trusselbildet Løsningsnøytral Uavhengig av brukerterminal Minimumskrav – ikke ønske om detaljstyring 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Målsetting med retningslinjene: 1. Bidra i kampen mot svindel 2. Øke tilliten til internettbetalinger 3. «Level playing field» 4. Generiske – «future proof» 5. Forutsigbarhet – «future proof» 6. Oppdateres i takt med trusselbildet 7. Løsningsnøytral 8. Uavhengig av brukerterminal 9. Minimumskrav – ikke ønske om detaljstyring See, for example, the third card fraud report of the ECB, which underlines that with €794 million in fraud losses in 2012, card-not-present fraud was not only the largest category in absolute value, but also the one with the highest growth (up 21.2% from 2011) (http://www.ecb.europa.eu/pub/pdf/other/cardfraudreport201402en.pdf) 16 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Målsetting med retningslinjene: 1. Bidra i kampen mot svindel 2. Øke tilliten til internettbetalinger 3. «Level playing field» 4. Generiske – «future proof» 5. Forutsigbarhet – «future proof» 6. Oppdateres i takt med trusselbildet 7. Løsningsnøytral 8. Uavhengig av brukerterminal 9. Minimumskrav – ikke ønske om detaljstyring 17 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Målsetting med retningslinjene: 1. Bidra i kampen mot svindel 2. Øke tilliten til internettbetalinger 3. «Level playing field» 4. Generiske – «future proof» 5. Forutsigbarhet – «future proof» 6. Oppdateres i takt med trusselbildet 7. Løsningsnøytral 8. Uavhengig av brukerterminal 9. Minimumskrav – ikke ønske om detaljstyring Retningslinjene utgjør minimum forventninger. Uavhengig av disse har PSP-ene ansvar for å overvåke og vurdere risikoene knyttet til betalingstjenestene, utvikle sine egne detaljerte sikkerhetspolicyer og implementere tilstrekkelig sikkerhet, beredskapsløsning, hendelseshåndtering og reserveløsninger som er tilpasset risikoene. 18 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner • Omfang • Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet • Ledelse • Risikovurdering • Hendelsesovervåking og rapportering. • Risikokontroll og risikoreduksjon • Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. • Innledende kundeidentifisering, informasjon • Sterk kundeautentisering. • Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden • Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering • Transaksjonsovervåking • Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon • Kundeopplæring og kommunikasjon • Meldinger, grenser • Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Omfang (Hvem): • Alle PSP-er som tilbyr betalingstjenester på internett, slik det er definert i PSD • Ansvarlige for betalingsordninger (kort, kredit overføringer, direkte debitering etc.) 19 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Omfang (Hvem): • • Alle PSP-er som tilbyr betalingstjenester på internett, slik det er definert i PSD Ansvarlige for betalingsordninger (kort, kredit overføringer, direkte debitering etc). 1. This Directive lays down the rules in accordance with which Member States shall distinguish the following six categories of payment service provider: (a) credit institutions within the meaning of Article 4(1)(a) of Directive 2006/48/EC; (b) electronic money institutions within the meaning of Article 1(3)(a) of Directive 2000/46/EC; (c) post office giro institutions which are entitled under national law to provide payment services; (d) payment institutions within the meaning of this Directive; (e) the European Central Bank and national central banks when not acting in their capacity as monetary authority or other public authorities; (f) Member States or their regional or local authorities when not acting in their capacity as public authorities. 20 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Omfang (Hvem): • • Alle PSP-er som tilbyr betalingstjenester på internett, slik det er definert i PSD Ansvarlige for betalingsordninger (kort, kredit overføringer, direkte debitering etc). Ansvarlige for betalingsordninger (kort, kredit overføringer, direkte debitering etc). (Eng.): «governance authorities of payment schemes" 21 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner • Omfang • Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet • Ledelse • Risikovurdering • Hendelsesovervåking og rapportering. • Risikokontroll og risikoreduksjon • Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. • Innledende kundeidentifisering, informasjon • Sterk kundeautentisering. • Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden • Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering • Transaksjonsovervåking • Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon • Kundeopplæring og kommunikasjon • Meldinger, grenser • Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Omfang (Hva) Hensikten med retningslinjene er å definere felles minimumskrav for internettbetalingene som er listet nedenfor, uansett hvilket utstyr som benyttes for tilgang til tjenesten: 1. [kort] utførelse av kortbetalinger på internett, inkludert betalinger med virtuelle kort og registrering av kortbetalingsdata for bruk i "lommebok-løsninger". 2. [kreditt-overføringer] gjennomføring av kredittoverføringer (CT-er) på internett 3. [elektroniske betalingsoppdrag] registrere og endre elektroniske oppdrag for direkte debitering 4. [e-penger] overføring av elektroniske penger mellom to e-penge kontoer via internett 22 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner • Omfang • Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet • Ledelse • Risikovurdering • Hendelsesovervåking og rapportering. • Risikokontroll og risikoreduksjon • Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. • Innledende kundeidentifisering, informasjon • Sterk kundeautentisering. • Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden • Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering • Transaksjonsovervåking • Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon • Kundeopplæring og kommunikasjon • Meldinger, grenser • Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Unntatt fra retningslinjene er: • • • • • • • 23 Andre internett tjenester som tilbys av en PSP via betalingsnettsiden (eks. elektronisk megling, online kontraktsinngåelse) Betalinger der instruksjonene gis via post, telefon, stemme post, eller SMS-basert teknologi Mobile betalinger som ikke er basert på nettleser Kredittoverføringer der en tredjepart aksesserer kundens betalingskonto Betalingstransaksjoner utført av et foretak via dedikerte nettverk Kortbetalinger ved bruk av anonyme eller ikke ladbare fysiske eller virtuelle forhåndsbetalte kort der det ikke er noe fast kundeforhold mellom usteder og kortholder Avregning og oppgjør av betalingstransaksjoner 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner • Omfang • Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet • Ledelse • Risikovurdering • Hendelsesovervåking og rapportering. • Risikokontroll og risikoreduksjon • Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. • Innledende kundeidentifisering, informasjon • Sterk kundeautentisering. • Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden • Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering • Transaksjonsovervåking • Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon • Kundeopplæring og kommunikasjon • Meldinger, grenser • Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Virtuelt kort er en kortbasert betalingsløsning der et alternativt, midlertidig kortnummer med en redusert gyldighetsperiode, begrenset bruk og forhåndsdefinert beløpsgrense blir generert og som kan brukes til internett kjøp. Lommebok-løsning er en løsning som tillater kunden å registrere data knyttet til en eller flere betalingsinstrumenter for å kunne betale hos flere brukersteder. 24 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Sikkerhets-policy for internettbetalinger Dokumentert Sikkerhetsmål og risikoapetitt Roller og ansvar Direkte rapportering til styre 25 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Formål og organisering av informasjonssikkerhet Prinsipper for sikker bruk og administrasjon av informasjon og IT-ressurser Roller og ansvar, tiltak og prosesser Personellsikkerhet Logisk/fysisk sikkerhet Sikkerhetstiltak for utkontrakterte tjenester Dokumentert og gjort kjent For GA’s policy som gjelder for alle scheme medlemmer har GA bestemmelser eller avtalefestet a) at alle scheme medlemmene skal etterleve GAs policy b) at GA kan kontrollere og pålegge utbedringer 26 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Minst en gang hvert år, etter alvorlige hendelser og nye trusler, ved store endringer i infrastruktur eller drift i. Tekniske løsninger ii. Tjenester som er utkontraktert til eksterne leverandører iii. Kundens tekniske miljø Overvåking av sikkerhetstrusler 27 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Prosess for å overvåke, håndtere og følge opp sikkerhetshendelser og sikkerhetsrelaterte kundeklager og rapportere slike hendelser til ledelsen PSP skal informere ansvarlige i betalingsordningen Overvåke, ta i mot, følge opp sikkerhetsrelaterte kundeklager Brukersteder avtaleforpliktet til å samarbeide ved hendelser 28 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Tiltak i tråd med politikken Flere lag – hvis et lag svikter, fanges feilen av neste lag Arbeidsdeling Tilgang: etter behov, fra gang til gang, så avgrenset som mulig Herde servere Applikasjonstilganger EV-sertifikater Teste at tiltakene virker Utkontraktering Brukersteder 29 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Tiltak i tråd med politikken Flere lag – hvis et lag svikter, fanges feilen av neste lag Arbeidsdeling Tilgang: etter behov, fra gang til gang, minst mulig Herde servere Applikasjonstilganger EV-sertifikater Industri standarder for herding: (eks. CICS, ISP, SANS, NIST, etc.) Endre standard ID og PW (eks. administrator) før installering Tillate kun nødvendige porter, protokoller, tjenester Fjerne all unødvendig funksjonalitet, som scripts, drivere, funksjoner, subsystemer og filsystemer og unødvendige server applikasjoner 30 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Krav om sporing av transaksjoner og elektroniske oppdrag Transaksjonsnummer, tids-stempler, parameterendringer, tilgang til transaksjoner og elektroniske oppdrag Logg-filer som sporer endringer, slettinger, tillegg til transaksjoner eller elektroniske oppdrag Spørring og analyse av transaksjoner, elektroniske oppdrag og loggene 31 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. «Kjenn din kunde»: Hvis det ser ut som en gås, går som gås og kvekker som en gås…. Ja da er det vel en gås da. 3. parts bekreftelse – folkeregister, telefon/strøm, betaling av lite beløp Kunden skal identifiseres i tråd med anti-hvitvaskings reglene Kunden skal bekrefte at hun ønsker å benytte tjenestene før det gis tilgang Kunden skal informeres om krav til utstyr og prosedyrer som skal følges og risikoen Ja, det ser ut som en gås, går som gås og kvekker som en gås…. Ja da er det vel en gås da. 32 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Gjelder for: 1. tilgang til og/eller endring av sensitive betalingsdata 2. betalinger 33 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Sensitive betalingsdata: Data som kan benyttes til å gjennomføre svindel 1. Data som iverksetter en betaling 2. Autentiseringsdata 3. Data som brukes for å bestille betalingsinstrumenter eller autentiseringsmekanismer 4. Data, parametere og programvare som, hvis de endres, kan influere på mulighetene for verifisere betalingstransaksjoner, autorisere faste oppdrag eller kontrollere kontoen, slik som «svarte» og «hvite» lister, kundedefinerte beløpsgrenser, etc. 34 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Sensitive betalingsdata: Data som kan benyttes til å gjennomføre svindel 1. 2. 3. 4. Data som benyttes for å iverksette en betaling Autentiseringsdata Data som brukes for å bestille betalingsinstrumenter eller autentiseringsmekanismer Data, parametere og programvare som, hvis de endres, kan influere på mulighetene for verifisere betalingstransaksjoner, autorisere faste oppdrag eller kontrollere kontoen, slik som «svart» og «hvite» lister, kundedefinerte beløpsgrenser, etc. • Kontonummer (BIC er ikke sensitive betalingsdata) • Kortdata (PAN, utløpsdato, CVx2) 35 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Sensitive betalingsdata: Data som kan benyttes til å gjennomføre svindel 1. 2. 3. 4. Data som benyttes for å iverksette en betaling Autentiseringsdata Data som brukes for å bestille betalingsinstrumenter eller autentiseringsmekanismer Data, parametere og programvare som, hvis de endres, kan influere på mulighetene for verifisere betalingstransaksjoner, autorisere faste oppdrag eller kontrollere kontoen, slik som «svart» og «hvite» lister, kundedefinerte beløpsgrenser, etc. Data som benyttes til autentisering: • • • • 36 Data som identifiserer kunden (kundenummer, logon-id) Passord, koder, PINs, hemmelige spørsmål, koder for å resette passord Telefonnumre Sertifikater 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Sensitive betalingsdata: Data som kan benyttes til å gjennomføre svindel 1. 2. 3. 4. Data som benyttes for å iverksette en betaling Autentiseringsdata Data som brukes for å bestille betalingsinstrumenter eller autentiseringsmekanismer Data, parametere og programvare som, hvis de endres, kan influere på mulighetene for verifisere betalingstransaksjoner, autorisere faste oppdrag eller kontrollere kontoen, slik som «svart» og «hvite» lister, kundedefinerte beløpsgrenser, etc. Data som benyttes for å bestille betalingsinstrumenter eller autentiseringsmekanismer på nett som skal sendes til kunden: • Adresse • Telefonnummer, e-post adresse 37 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Sensitive betalingsdata: Data som kan benyttes til å gjennomføre svindel 1. 2. 3. 4. Data som benyttes for å iverksette en betaling Autentiseringsdata Data som brukes for å bestille betalingsinstrumenter eller autentiseringsmekanismer Data, parametere og programvare som, hvis de endres, kan influere på mulighetene for verifisere betalingstransaksjoner, autorisere faste oppdrag eller kontrollere kontoen, slik som «svart» og «hvite» lister, kundedefinerte beløpsgrenser, etc. Data, parametere og programvare som er lagret i PSP-ens systemer som, hvis de endres, kan ødelegge sikkerheten knyttet til levering av betalingsinstrumenter eller autentiseringsmekanismer til kunden, eller som kan endre kundens mulighet til å verifisere betalingstransaksjoner, autorisere faste oppdrag eller kontrollere kontoen, eks. • «svartelister» og «hvitelister» lister, kundedefinerte grenser etc. • Data som nevnt i 1-3, avhengig av konteksten 38 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. To av disse tre: 1. Noe bare brukeren vet («vet elementet») Statisk passord, kode, PIN 2. Noe bare brukeren har («har elementet») Token, smart-kort, mobiltelefon 3. Noe brukeren er Biometri som for eksempel fingeravtrykk («er-elementet») 39 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Minst ett av elementene skal 1. Ikke kunne kopieres 2. ikke kunne stjeles via internett (kryptografiske nøkler, sensitiv programvare eller private signeringsnøkler) Gjensidig uavhengige; kompromittering av ett element kompromitterer ikke de(n) andre Autentiseringsprosedyren skal beskytte autentiseringsdata 40 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. 7.1 [KO/e-oppdrag/e-penger] PSP-er bør foreta sterk kundeautentisering når kunden godkjenner internett betalinger (inkludert bunter med KO-er) og når kunden gir eller endrer oppdrag for direkte debitering. Men PSP-er kan vurdere å benytte alternative metoder for kundeautentisering for: • utgående betalinger til tiltrodde mottakere som er inkludert i kundens hvitelister som er etablert tidligere • transaksjoner mellom to kontoer som tilhører samme kunde • overføringer innen samme PSP i henhold til en risikovurdering • lav-verdi transaksjoner, slik de er definert i PSD • Se definisjonen av lav-verdi transaksjoner i Artikkel 34(1) og 53(1) i PSD 41 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. 7.2 Tilgang til eller endring av sensitive betalingsdata (inklusive opprettelse eller endring av hvitelister) krever sterk kundeautentisering. Hvis PSP-en tilbyr utelukkende konsulenttjenester, uten å vise sensitive kunde eller betalingsdata, eks. kortdata, som kunne vært misbrukt til svindel, kan PSP-en tilpasse autentiseringskravene til dette basert på en risikovurdering. 42 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. 7.3 [kort] Alle utstedere bør støtte sterk kortholderautentisering for korttransaksjoner. Alle kort som utstedes må være teknisk klargjort (registrert) for sterk kundeautentisering. 43 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. 7.4 [kort] PSP-er som tilbyr innløser-tjenester bør støtte teknologier som gjør utsteder i stand til å foreta sterk kundeautentisering av kortholder for kortordningen som innløser deltar i. 44 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. 7.5 PSP-er som tilbyr innløser-tjenester bør kreve at brukerstedene støtter løsninger som gjør utsteder i stand til å foreta sterk kundeautentisering av kortholder for korttransaksjoner på internett. Bruk av alternative autentiseringsmekanismer kan vurderes for predefinerte kategorier av lav-risiko transaksjoner, eksempelvis basert på en transaksjonsrisikoanalyse, eller lav-verdi betalinger, slik de er definert i PSD. 45 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. 7.6 [kort] For kortordninger som tjenesten støtter, skal tilbydere av lommebokløsninger kreve sterk kundeautentisering av utsteder når brukeren første gang registrerer kortdata. 46 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. 7.7 Tilbydere av lommebokløsninger bør støtte sterk kundeautentisering når kunden logger inn på lommeboken eller utfører korttransaksjoner på internett. Bruk av alternative autentiseringsmekanismer kan vurderes for predefinerte kategorier av lav-risiko transaksjoner, eksempelvis basert på en transaksjonsrisikoanalyse, eller lav-verdi betalinger, slik de er definert i PSD. Risikoanalyse: Arten av produkter/tjenester som selges (eks. fysiske varer/tjenester vs. digitale varer/tjenester) Leveringskanal (fysisk vs. elektronisk) Kundeadferd Kvaliteten på brukerstedets svindelovervåking Transaksjonsanalyse mot disse kriteriene 47 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. 7.8 [kort] For virtuelle kort bør førstegangs registrering skje i trygge og tiltrodde omgivelser. Sterk kundeautentisering bør kreves for generering av kortdata hvis kortet utstedes på internett. 48 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. 7.9 PSP-er bør sikre gjensidige autentisering under kommunikasjon med brukersteder i den hensikt å igangsette internettbetalinger og aksessere sensitive betalingsdata. 49 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Trygge og tiltrodde omgivelser Programvare bør være digitalt signert Kunden bør kunne velge å registrere seg for sterk autentisering uavhengig av et spesifikt internett-kjøp Utstedere bør aktivt oppfordre til å registrere seg for sterk kundeautentisering Hvis PSP-en tilbyr sterk kundeautentisering for et kjøp, skjer det ved omruting til sikker og tiltrodde omgivelser? 50 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Begrense antall innloggingsforsøk og autentiseringsforsøk Sesjonsvarighet betaling Sesjonsvarighet autentisering Maksimum antall forsøk Sikker prosedyre for reaktivering 51 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Før godkjenning av transaksjonen Spesiell analyse og vurdering av transaksjoner med høy risiko Tilsvarende for registrering av elektroniske oppdrag Svindeloppdagende og avvergende Stjålne kort, unormal kundeatferd, geolokasjon Tegn på ondartet kode Kjente svindelscenarier Overvåke brukerstedene Blokkering i så kort tid som mulig 52 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Beskytte autentiseringen begge veier Ende-til-ende kryptering Kreve og kontrollere at brukerstedene beskytter kundedata 53 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. 11.1 Alle data som benyttes for å identifisere og autentisere kunden (eks. ved innlogging, ved oppstart av internettbetalinger, og under opprettelse, endring eller avslutning av e-oppdrag), og kundegrensesnittet (Webstedet til PSP-en eller brukerstedet), bør være beskyttet mot tyveri og uautorisert tilgang eller endring. 54 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. 11.2 For å sikre konfidensialitet og integritet på dataene, bør PSP-ene sikre at ende-til-ende kryptering ved hjelp av sterke og anerkjente krypteringsmekanismer er etablert mellom de kommuniserende parter når sensitive betalingsdata utveksles over internett. 55 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. 11.3 PSP-er som tilbyr innløser-tjenester bør oppfordre brukerstedene til ikke å lagre sensitive betalingsdata. I tilfelle brukerstedene behandler, dvs. lagrer, bearbeider eller overfører sensitive betalingsdata, bør PSP-en kontraktsmessige kreve at brukerstedet har nødvendig tiltak på plass for å beskytte dataene. PSP-ene bør foreta jevnlige kontroller og hvis en PSP blir oppmerksom på at et brukersted som behandler sensitive betalingsdata ikke har foreskrevet sikkerhet på plass, så skal PSP-en ta skritt for å sikre dette eller terminere kontrakten. 56 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Kundestøtte og veiledning etter behov Sikker kommunikasjonskanal (riktig og sikker bruk, bedragerske transaksjoner, mistenkelig hendelser, angrep, avvik) Endringer i sikkerhetsprosedyrer Opplæring og bevisstgjøringsprogrammer Klart skille mellom betalingsrelaterte prosesser og butikktjenester 57 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. PSP-en bør sette grenser (transer og/eller omsetning) Kunden kan sette ytterligere grenser Varslingstjenester Kunden kan endre profilen sin (skru av tjenesten) 58 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger Kapittel 1 – Omfang og definisjoner Omfang Definisjoner Kapittel 2 – Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. PSP-er bør informere kunden om en betaling er påbegynt, og i god tid gi kunden nødvendig informasjon slik at hun kan kontrollere at betalingen er gyldig iverksatt og/eller gjennomført. [KO/e-oppdrag] PSP-er bør tilby kunden en måte å sjekke status på behandlingen av en transaksjon i nær realtid og en måte å sjekke saldo på til enhver tid, i en sikker og tiltrodd omgivelse. 59 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål Retningslinjene gjelder fra 1. august 2015 Vurdere løsningene på nytt Kontraktene med brukersteder Oversikt over brukersteder, med/uten sterk kundeautentisering Kontraktene med underleverandører Kundeavtaler (eksplisitt godkjenning, ansvar ifbm bruk mot ulovlige brukersteder) Kunden har benyttet en tjeneste som er ulovlig Informasjon til kunden 60 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål Vurderer ikke á priori alle løsninger i markedet Vurderingsveiledning («Assessment guide») FAQ «Bygge på» (PCI, ISO27001) Egenevaluering Stikkprøver ved tilsyn Teste Proposjonalitet Bringe inn for SecuRePay 61 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 1: Er kravene når det gjelder sterk kundeautentisering de samme for initiering av betaling som for tilgang til sensitive betalingsdata? Ja, i prinsipp er kravene de samme. 62 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 2: Hvis en betaler ønsker å benytte en PC til betaling, mottar en engangskode på mobilen, og PC-en og mobilen er koblet til samme nettverk, er autentiseringen «sterk»? Er kanalene tilstrekkelig uavhengige, selv om de deler den samme dataforbindelsen og data går gjennom den samme ruteren. Dette kan være sterk autentisering. Avhengig av implementeringen. Vurderingsveiledning 7.0.4. 63 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 3: Må de som prosesserer korttransaksjoner følge kravene? I visse tilfeller er PSP-en også den som prosesserer transaksjonene. Prosesserer er PSP faller direkte inn under kravene Prosessering er utkontraktert → kontrakten skal sikre etterlevelse 64 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 4: Må de som prosesserer korttransaksjoner følge kravene? I visse tilfeller er PSP-en også den som prosesserer transaksjonene. Prosesserer er PSP faller direkte inn under kravene Prosessering er utkontraktert → kontrakten skal sikre etterlevelse 65 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 5: Inkluderer begrepet «ansvarlige for betalingsordninger» (governance authorities for payment schemes) enheter som gjør interbank avregning, slik som Swift-partnere? Er betalinger mellom foretak omfattet av retningslinjene? Avregning og oppgjør er utenfor. Betalinger mellom foretak er omfattet av retningslinjene, unntatt betalinger over dedikerte nettverk. 66 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 6: Mobilbetalinger som ikke er basert på nettleseren er ikke omfattet av anbefalingene. Betyr det at person til person apper ikke er omfattet. Nei, dette avhenger av applikasjonen. Den faller innenfor dersom den benytter en underliggende nettleser som spiller sammen med maskinvare på brukerens mobil. 67 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 7: Skilles det mellom «risikoapetitt» og risikotoleranse. Sikkerhetspolitikken bør definere sikkerhetsmålsettinger og risikoapetitt. Risikoapetitt er den risikoen foretaket er villig til å ta, gitt foretakets evne til å absorbere tap (finansielle, ryktetap, ødelagte systemer) og risikoprofil. 68 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 8: Gjelder retningslinjene for sensitive betalingsdata som befinner seg i DMZ, eller gjelder de også for betalingsdata i andre systemer som ikke grenser til Internett. Retningslinjene gjelder for alle betalingsdata som kan benyttes til å begå svindel, uavhengig av hvor de prosesseres, lagres eller overføres. 69 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 9: Hvis betalingsløsningen er døgnåpen, må PSP-en ha døgnåpen tjeneste for håndtering av hendelser? I følge retningslinjene bør PSP-en ha et system slik at kunden kan rapportere inn sikkerhetsrelaterte hendelser eller observasjoner som PSP-en kan ta aksjon på og følge opp. Hendelser kan komme fra andre kilder også. Proposjonalitet. Løsning som speiler risikoen. 70 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 10: Bør utstederbanken periodisk gjennomgå sikkerheten når det gjelder kortbetalinger. Ja, PSP-en bør periodisk gå gjennom sikkerhetstiltak når det gjelder internettbetalinger, herunder kortbetalinger. 71 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 11: Inkluderer kravet om sporbarhet applikasjonslogger og systemlogger/revisjonsspor? Alle transaksjoner og behandling av faste oppdrag skal være sporbare. Applikasjons- og systemlogger/revisjonsspor skal til sammen gi en global sporbarhet. 72 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 12: Hva innebærer kravet om at kunden skal bekrefte at hun ønsker å gjøre internettbetalinger før hun gis tilgang til internettbetalinger? Kravet innebærer at kunden: skal informeres om at tjenesten kan benyttes til internettbetalinger skal eksplisitt bekrefte (kundekontrakten) at hun ønsker å benytte tjenesten i forbindelse med internettbetalinger, før hun får tilgang til tjenesten Hvis hun ikke har avgitt bekreftelse, skal tjenesten ikke kunne benyttes til internettbetalinger. 73 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 13: Kredit overføringer via internettbank – må det være sterk kundeautentisering (SKA) for hver transaksjon, eller er det tilstrekkelig med SKA ved sesjonsoppstart? Bør være SKA ved hver transaksjon. En transaksjon kan være en bunt. 74 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 14 KC 7.1: Tanking av en e-penge konto – kreves SKA? Hva med uttak fra en e-penge konto? Avhenger av tanke-instrumentet og beløpets størrelse. Se KC 7.1 for unntak når det gjelder tanking fra e-penger, kredit-overføringer og direkte debitering, og 7.5 og 7.8 når det gjelder tanking fra kort. Tanking innenfor samme PSP eller lav verdi (PSD II) – annen autentisering OK (risikobasert) 75 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 14 KC 7.1: Tanking av en e-penge konto – kreves SKA? Hva med uttak fra en e-penge konto? 7.1 KC [CT/e-mandate/e-money] PSPs should perform strong customer authentication for the customer’s authorisation of internet payment transactions (including bundled CTs) and the issuance or amendment of electronic direct debit mandates. However, PSPs could consider adopting alternative customer authentication measures for: – outgoing payments to trusted beneficiaries included in previously established white lists for that customer; – transactions between two accounts of the same customer held at the same PSP; – transfers within the same PSP justified by a transaction risk analysis; – low-value payments, as referred to in the Payment Services Directive. 76 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 14 KC 7.1: Tanking av en e-penge konto – kreves SKA? Hva med uttak fra en e-penge konto? 7.5 KC [cards] PSPs offering acquiring services should require their e-merchant to support solutions allowing the issuer to perform strong authentication of the cardholder for card transactions via the internet. The use of alternative authentication measures could be considered for preidentified categories of low-risk transactions, e.g. based on a transaction risk analysis, or involving low-value payments, as referred to in the Payment Services Directive. 77 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 15: Er lav verdi alltid 30 Euro? Avhenger av den nasjonale implementering av PSD. Gjeldende utgave tillater dobling eller halvering av dette beløpet. 78 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 16. I følge 7.6 bør PSP som ikke støtter SKA være ansvarlig. I 7.5 står at brukersted kan avgjøre om transaksjonen krever SKA eller ikke. Bør ikke ansvaret da overføres til brukerstedet? Usteder kan bli sittende med en restrisiko – de kan være lite lønnsomt å kreve innløseren (PSP) for tapet. Kan usteder i praksis kontrollere risikoen her? Hvis brukerstedet tar risikoen, vil innløser PSP kreve at brukerstedet tar tapet. Det kan også være slik at utsteder krever innløser, som sender tapet videre til brukerstedet. Utsteder avgjør på forretningsmessig grunnlag hvilke transaksjoner hun aksepterer eller om hun avviser transaksjonen der og da. 79 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 17: Hvis PSP-en tilbyr betalingsapper som fungerer som en browser, kreves det sterk kundeautentisering ifbm førstegangsregistrering? Er det ok med PIN etter dette hvis kortdata ikke endres? Førstegangsregistrering: Ja Etter dette: Ved innlogging til lommeboken eller ved gjennomføring av transaksjoner. Alternative autentiseringsmetoder kan vurderes for predefinerte kategorier av lav-verdi transaksjoner, eks. basert på transaksjons risiko analyse, eller lav verdi, se PSD. Transaksjons risiko analyse: fysiske vs. digitale varer og tjenester, leveringskanal, kundeadferd, svindel overvåkingen som brukerstedet utfører. 80 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 18: Bør utsteder tvinge kortholder til å registrere seg for sterk autentisering? Utstedere bør aktivt oppfordre til å registrere seg for sterk autentisering og tillate kortholder å omgå registrering bare i spesielle tilfeller. 81 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 19: Bør innløsere implementere brukerstedkategorier (i tråd med de som benyttes i betalingsordningene(«payment schemes»)) og inkludere disse i autorisasjonsmelding som sendes til utsteder, selv om ikke kategoriene er standardisert enda? Hvordan bør innløser og betalingsordningene samarbeide for å få opp omforente kategorier? Selv om det ikke er standardiserte løsninger på tvers av betalingsordninger enda, så er informasjonen nyttig i risikosammenheng. Dette bør inngå i kontrakten med PSP-ene. Kort-ordningene («Card schemes») bør ideelt sett etablere en standardiseringsgruppe og bli enig med innløsere om definisjoner når det gjelder brukerstedskategorier. 82 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 21, 10.4: Blokkering av transaksjoner. Hvordan er forholdet til PSD regler om T+1 transaksjonsbehandling? Hva hvis granskningen tar lenger tid og T+1 oversittes? PSD artikkel 55-2 åpner for blokkering. «Hvis rammeavtalen med brukeren åpner for det, kan PSP blokkere et betalingsinstrument ut i fra objektive grunner knyttet til sikkerheten i betalingsinstrumentet, uautorisert eller bedragersk bruk av betalingsinstrumentet, eller - i tilfellet kreditt er knyttet til betalingsinstrumentet – det er en vesentlig øket risk for at betaler ikke kan gjør opp. 83 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 22: Når det gjelder retningslinjer om beskyttelse av sensitive betalingsdata, er retningslinjene sterkere enn de som PCI oppstiller? Retningslinjene forsøker ikke å definere spesifikke løsninger når det gjelder sikkerhet eller teknisk. Ei heller endrer de på eksisterende tekniske industristandarder eller myndighetenes forventninger når det gjelder databeskyttelse eller kontinuitet. Myndighetene bygge på PSP-ens etterlevelse av relevante internasjonale standarder. 84 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 23 12.5: Bør betalingen autentiseres av utsteder, uten at brukerstedet involveres? Betyr det at integrerte løsninger der brukerstedets nettside inneholder betalingen er forbudt? Ifølge retningslinjene forventes det at innløser krever at brukerstedet klart skiller betalings-relaterte prosesser fra butikken for å gjøre det lettere for kunden å slå fast om hvorvidt de kommuniserer med PSP-en og ikke betalingsmottakeren (for eksempel ved å omrute kunden og åpne et separat vindu slik at betalingsprosessen ikke vises i en ramme i brukerstedets nettside. Dette betyr ikke at integrerte løsninger ikke er tillatt, men de må gjør det mulig for kunden å slå fast når de kommuniserer med PSP-en. 85 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger 09.30-10.00 10.00-10.20 10.20-12.30 12.30-13.15 13.15-13.35 13.35-14.00 14.00-15.00 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål FAQ 24 13.1: Innebærer kravet at et kort skal kunne sperres for internett, men fortsatt gjelde ved POS? Nei, ikke som en generell regel. I følge 13.1 bør PSP-en definere grenser (transaksjon og omsetning) og informere kunden om dette. PSP bør tillate kunden å skru av internett betaling. Så hvis kunden ønsker å skru av internett, så ja, dette ville vøre til at internettfunksjonaliteten på kortet ikke er tilgjengelig, men at kortet vil virke på POS. 86 26. august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger
© Copyright 2024