Стандарт Банка России СТО БР БФБО-1.9-2024 "Безопасность финансовых (банковских) операций. Обеспечение безопасности использования QR-кодов при осуществлении переводов денежных средств" (принят и введен в действие приказом Банка России от 28.12.2024 N ОД-2367)

Стандарт Банка России СТО БР БФБО-1.9-2024
"Безопасность финансовых (банковских) операций.
Обеспечение безопасности использования QR-кодов при осуществлении переводов денежных средств"
(принят и введен в действие приказом Банка России от 28 декабря 2024 г. N ОД-2367)

Предисловие

Принят и введен в действие приказом Банка России от 28.12.2024 N ОД-2367.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29.06.2015 N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту, о пересмотре (замене) или об отмене стандарта размещается на сайте Банка России в сети Интернет (http://www.cbr.ru/).

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.

Введение

Настоящий стандарт разработан для унификации видов и способов безопасного применения QR-кодов при осуществлении переводов денежных средств и позволяет решить следующие задачи:

- выделение технологических участков и подэтапов процессов осуществления переводов денежных средств с использованием QR-кодов;

- определение риска информационной безопасности на технологических участках и подэтапах указанных выше процессов, актуальных угроз безопасности информации и мер защиты информации для снижения выявленного риска;

- стандартизация взаимодействия участников указанных выше процессов при осуществлении переводов денежных средств с использованием QR-кодов;

- внедрение единых правил формирования и использования QR-кодов в процессах осуществления переводов денежных средств на основе международных стандартов.

1. Область применения

Настоящий стандарт рекомендован к использованию при осуществлении деятельности, направленной на обеспечение безопасности использования статических и динамических QR-кодов для совершения переводов денежных средств.

Положения настоящего стандарта предназначены для использования кредитными организациями, некредитными финансовыми организациями, операторами платежных систем, операционным и платежным клиринговым центром Системы быстрых платежей и иными организациями, участвующими в осуществлении переводов денежных средств с использованием QR-кодов, поставщиками платежных приложений, прикладного программного обеспечения, информационных систем, электронных средств платежа (далее при совместном упоминании - организации), которые применяются для инициации и совершения переводов денежных средств с использованием QR-кодов.

Настоящий стандарт определяет:

- технологические участки инициации и совершения переводов денежных средств с использованием QR-кодов;

- принципы и этапы процесса формирования данных для QR-кодов в автоматизированных системах поставщиков платежных приложений, прикладного программного обеспечения, информационных систем, электронных средств платежа, которые применяются для инициации и совершения переводов денежных средств с использованием QR-кодов;

- способы использования данных, необходимых для формирования QR-кодов в автоматизированных системах поставщиков платежных приложений, прикладного программного обеспечения, информационных систем, электронных средств платежа, которые применяются для инициации и совершения переводов денежных средств с использованием QR-кодов;

- способы преобразования данных в QR-код плательщиком/получателем, полученных от поставщика платежного QR-кода;

- способы представления QR-кода плательщиком/получателем для осуществления переводов денежных средств;

- меры защиты на технологических участках и подэтапах осуществления переводов денежных средств с использованием QR-кодов;

- сценарии использования QR-кодов при выполнении переводов денежных средств.

Настоящий стандарт предназначен для применения в организациях при реализации процессов осуществления переводов денежных средств с использованием статических и динамических QR-кодов, формируемых:

- плательщиком - для предоставления получателю реквизитов плательщика, в том числе платежных ссылок;

- получателем - для предоставления плательщику реквизитов получателя или платежной ссылки.

Положения настоящего стандарта носят рекомендательный характер, если только обязательность применения некоторых из них не установлена нормативными правовыми актами, в том числе нормативными актами Банка России. Настоящий стандарт может быть использован для включения ссылок на него и (или) для прямого включения содержащихся в нем положений во внутренние документы организаций финансового рынка, а также в договоры, заключенные между организациями.

2. Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие документы:

1. Национальный стандарт Российской Федерации ГОСТ Р 34.11-2012 "Информационная технология. Криптографическая защита информации. Функция хэширования" (утвержден приказом Федерального агентства по техническому регулированию и метрологии от 07.08.2012 N 216-ст) (далее - ГОСТ Р 34.11-2012).

2. Национальный стандарт Российской Федерации ГОСТ Р 34.12-2015 "Информационная технология. Криптографическая защита информации. Блочные шифры" (утвержден приказом Федерального агентства по техническому регулированию и метрологии от 19.06.2015 N 749-ст) (далее - ГОСТ Р 34.12-2015).

3. Национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" (утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 N 822-ст) (далее - ГОСТ 57580.1-2017).

4. Стандарт Банка России СТО БР БФБО-1.7-2023 "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств" (принят и введен в действие приказом Банка России от 01.03.2023 N ОД-335) (далее - СТО БР БФБО-1.7-2023).

5. Стандарт Банка России СТО БР БФБО-1.8-2024 "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации" (принят и введен в действие приказом Банка России от 28.02.2024 N ОД-326) (далее - СТО БР БФБО-1.8-2024).

3. Порядок применения

Настоящий стандарт развивает положения Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента", от 17.08.2023 N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" в части обеспечения защиты информации при осуществлении переводов денежных средств с использованием QR-кодов [1], [2].

В стандарте рассматриваются меры по обеспечению защиты QR-кодов и контроля информационной безопасности при их применении, специфические для переводов денежных средств с использованием QR-кодов на технологических участках "Формирование (подготовка), передача и прием электронных сообщений", "Удостоверение права клиентов распоряжаться денежными средствами" и "Осуществление банковской операции, учет результатов ее осуществления", а также на подэтапе "Формирование (подготовка), передача и прием QR-кода" технологического участка "Формирование (подготовка), передача и прием электронных сообщений".

Настоящий стандарт также определяет виды QR-кодов, которые используются организациями, угрозы и меры защиты в целях обеспечения безопасности информации ограниченного доступа, необходимой для осуществления переводов денежных средств с использованием QR-кодов.

Организации при использовании положений настоящего стандарта и внедрении мер защиты, направленных на минимизацию риска информационной безопасности, также должны руководствоваться моделью угроз безопасности информации, разработанной в таких организациях. Для выбора необходимых мер защиты организациям целесообразно определить актуальность представленных в настоящем стандарте угроз применимо к своим процессам, связанным с осуществлением переводов денежных средств с использованием QR-кодов.

При актуальности угроз организациям рекомендуется внедрить меры защиты, минимизирующие риск реализации соответствующих угроз. В случае неактуальности угроз, применимых к процессам организации, указанные в стандарте меры защиты не подлежат внедрению.

Настоящий стандарт включает приложения, в которых отражены способы представления QR-кодов для осуществления переводов денежных средств, состав данных QR-кода, схемы и описания различных процессов осуществления переводов денежных средств с использованием QR-кодов.

4. Термины и определения

В настоящем стандарте применены следующие термины:

4.1

Банк плательщика: кредитная организация (или ее филиал), обслуживающая (обслуживающий) счет плательщика.

4.2

Банк получателя: кредитная организация (или ее филиал), обслуживающая (обслуживающий) счет получателя.

4.3

Банк пользователя: кредитная организация (или ее филиал), обслуживающая (обслуживающий) счет пользователя.

4.4

Операция СБП B2B: операция СБП, осуществляемая при переводе денежных средств от плательщика - юридического лица, индивидуального предпринимателя получателю - юридическому лицу, индивидуальному предпринимателю (за исключением переводов по поручению или в пользу юридических лиц, лицевые счета которых открыты в территориальных органах Федерального казначейства).

[3], раздел 1.2

4.5

Операция СБП C2B: операция СБП, осуществляемая при переводе денежных средств от плательщика - физического лица получателю - юридическому лицу, индивидуальному предпринимателю или самозанятому гражданину.

[3], раздел 1.2

4.6

Платежная ссылка: URL-адрес, который ведет на ресурс с данными, необходимыми для осуществления платежной операции.

4.7

Платежное приложение: предоставляемое поставщиком платежного приложения программное обеспечение на подключенном к информационно-телекоммуникационной сети "Интернет" техническом устройстве (включая смартфон, планшетный компьютер), позволяющее клиенту оператора по переводу денежных средств составлять и передавать распоряжения в целях осуществления перевода денежных средств с использованием электронного средства платежа.

[4], пункт 30 статьи 3

4.8

Плательщик: сторона (физическое лицо, индивидуальный предприниматель, юридическое лицо), которая переводит денежные средства.

4.9

Получатель: сторона (физическое лицо, индивидуальный предприниматель, юридическое лицо), в пользу которой переводят денежные средства.

4.10

Пользователь: сторона (физическое лицо, индивидуальный предприниматель, юридическое лицо), которая использует банкомат кредитной организации для списания/зачисления наличных денежных средств на счет.

4.11

Поставщик платежного приложения: юридическое лицо, в том числе иностранная организация, предоставляющее на основании договора с оператором по переводу денежных средств платежное приложение для его применения клиентами оператора по переводу денежных средств.

[4], пункт 29 статьи 3

4.12

Поставщик платежного QR-кода: организация, оказывающая услугу формирования QR-кода для перевода денежных средств получателю (например, кредитная организация, выполняющая функции банка получателя средств или банка плательщика, операционный и платежный клиринговый центр Системы быстрых платежей, поставщик электронного средства платежа, сторонние сервисы по формированию QR-кодов).

4.13

Строка: данные плательщика/получателя, представленные в формате Base64, для последующего преобразования в QR-код.

4.14

Техническое устройство: мобильное устройство, стационарный компьютер или иное устройство, используемое для отображения QR-кода плательщиком/получателем с целью осуществления платежных операций.

4.15

Токенизированная (цифровая) карта: преобразованные реквизиты платежной карты.

4.16

Электронное сообщение: сообщение, содержащее распоряжение о переводе денежных средств в электронном виде.

4.17

Электронное средство платежа: средство и (или) способ, позволяющие клиенту оператора по переводу денежных средств составлять, удостоверять и передавать распоряжения в целях осуществления перевода денежных средств в рамках применяемых форм безналичных расчетов с использованием информационно-коммуникационных технологий, электронных носителей информации, в том числе платежных карт, а также иных технических устройств.

[4], пункт 19 статьи 3

5. Обозначения и сокращения

АРМ - автоматизированное рабочее место

ДБО - дистанционное банковское обслуживание

ОПКЦ СБП - операционный и платежный клиринговый центр Системы быстрых платежей

ПО - программное обеспечение

СБП - Система быстрых платежей

СиП - сканирование и получение данных из QR-кода для дальнейшего осуществления перевода денежных средств

ТСП - торгово-сервисное предприятие

ФиП - формирование и представление QR-кода плательщиком/получателем

ФППЗ - формирование, передача и прием запроса (данных) для генерации QR-кода

ЮЛ - юридическое лицо

ЭСП - электронное средство платежа

MAC - message authentication code (код аутентификации сообщения)

POS - Point of Sale (место продажи)

TLS - transport layer security (протокол защиты транспортного уровня)

QR - Quick Response (быстрый отклик)

URL - Uniform Resource Locator (унифицированный указатель ресурса)

6. Описание технологических участков и этапов

Процесс осуществления переводов денежных средств разделен на следующие технологические участки, определенные в нормативных актах Банка России [1], [2]:

- идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций ¹;

- формирование (подготовка), передача и прием электронных сообщений;

- удостоверение права клиентов распоряжаться денежными средствами;

- осуществление банковской операции, учет результатов ее осуществления;

- хранение электронных сообщений и информации об осуществленных банковских операциях.

Процесс формирования QR-кода для осуществления переводов денежных средств реализован на подэтапе "Формирование (подготовка), передача и прием QR-кода" технологического участка "Формирование (подготовка), передача и прием электронных сообщений" и представлен на рис. 1.

Технологические участки и шаги процесса перевода денежных средств при использовании QR-кода

Рис. 1

На подэтапе "Формирование (подготовка), передача и прием QR-кода" выделяются следующие шаги:

- формирование, передача, обработка запроса (данных) для генерации QR-кода; этот шаг включает формирование получателем QR-кода запроса с данными, необходимыми для генерации QR-кода, его передачу по каналам связи поставщику платежного QR-кода, прием поставщиком платежного QR-кода такого запроса с данными, обработка и формирование строки с данными / со ссылкой и ее последующая передача получателю;

- формирование и представление QR-кода плательщиком/получателем; этот шаг включает обработку плательщиком/получателем строки с данными / ссылки, полученной от поставщика платежного QR-кода и преобразование ее в графический вид для представления получателю/ плательщику;

- сканирование и получение данных из QR-кода для дальнейшего перевода денежных средств; этот шаг включает сканирование плательщиком/получателем представленного QR-кода и получение из него данных/ссылки для дальнейшей обработки.

7. Виды и способы применения QR-кодов в процессах осуществления переводов денежных средств

Существуют четыре типа платежных QR-кодов в зависимости от состава хранимой информации:

- QR-код с реквизитами плательщика - QR-код, сформированный плательщиком, в котором содержится информация, необходимая для совершения перевода денежных средств (например, реквизиты карты или счета);

- QR-код со ссылкой плательщика - QR-код с платежной ссылкой, сформированной поставщиком платежного QR-кода и перенаправляющей на ресурс с целевыми данными, необходимыми для совершения перевода денежных средств (например, реквизиты карты или счета);

- QR-код с реквизитами получателя - QR-код, сформированный получателем/поставщиком платежного QR-кода, в котором содержатся данные, необходимые для перевода денежных средств (информация об операции), либо платежные реквизиты получателя;

- QR-код со ссылкой получателя - QR-код с платежной ссылкой, сформированной поставщиком платежного QR-кода и перенаправляющей на ресурс с целевыми данными, необходимыми для совершения перевода денежных средств (например, реквизиты карты или счета).

Платежные QR-коды могут использоваться в двух сценариях:

- динамический - код, который формируется для конкретной операции осуществления перевода денежных средств и содержит данные для перевода денежных средств (динамический QR-код);

- статический - код, который формируется однократно для регулярного использования при осуществлении операций по переводу денежных средств и содержит как платежную ссылку, так и реквизиты плательщика/получателя (статический QR-код).

На устройствах (носителях) платежные QR-коды могут быть представлены в двух вариантах отображения:

- онлайн - QR-коды генерируются непосредственно в момент оплаты в точке взаимодействия плательщика и получателя и представляются на устройствах плательщика/получателя;

- офлайн - QR-коды генерируются заранее, сохраняются на устройствах плательщика/получателя и представляются на таких устройствах в точке взаимодействия при необходимости.

QR-коды могут быть отображены на следующих устройствах (носителях):

- бумага/наклейка и иной способ физического представления графического изображения;

- веб-сайт (в частности, интернет-магазин и иные способы отображения в графическом виде в среде Интернет);

- различные POS-устройства;

- банкомат;

- иные технические устройства.

На рис. 2 представлены варианты QR-кодов плательщика и получателя, рассматриваемые в стандарте, которые могут применяться при осуществлении переводов денежных средств.

QR-коды плательщика и получателя

Рис. 2

Состав данных QR-кодов плательщика/получателя для функциональной совместимости при осуществлении переводов денежных средств рекомендуется реализовывать в соответствии с приложением 1 к настоящему стандарту.

8. Способы представления QR-кодов для осуществления переводов денежных средств

Раздел является справочным. Схемы взаимодействия участников при формировании QR-кода могут отличаться от схем, представленных в настоящем стандарте.

QR-коды могут быть представлены для последующего сканирования и оплаты плательщиком или получателем.

При представлении QR-кода плательщиком с использованием ЭСП / платежного приложения на устройстве формируется запрос и передается поставщику платежного QR-кода.

Поставщик платежного QR-кода возвращает плательщику в ЭСП / платежное приложение для преобразования в графический QR-код либо строку с данными, либо строку с платежной ссылкой.

Плательщик представляет QR-код получателю для сканирования и последующего осуществления перевода денежных средств [5], [7]. На рис. 3 представлена общая схема процесса формирования платежного QR-кода плательщиком.

Поставщиком платежного QR-кода для плательщика могут быть банк плательщика или поставщик платежного приложения.

Частные схемы процесса формирования QR-кода плательщиком могут быть реализованы в соответствии с разделом 1 приложения 2.

Формирование QR-кода плательщиком

Рис. 3

При представлении QR-кода получателем на устройстве в приложении формируется и передается запрос поставщику платежного QR-кода. Поставщик платежного QR-кода возвращает в приложение получателя строку с данными / со ссылкой для преобразования в графический QR-код. Получатель представляет QR-код плательщику для сканирования и последующего осуществления перевода денежных средств [6], [7]. На рис. 4 представлена общая схема процесса формирования платежного QR-кода получателем.

Поставщиком платежного QR-кода для получателя могут быть банк получателя, поставщик платежного приложения, ОПКЦ СБП.

Формирование QR-кода получателем

Рис. 4

При представлении QR-кода получателем в прикладном ПО формируется QR-код с реквизитами получателя и печатается в квитанции. Получатель представляет плательщику квитанцию с QR-кодом для сканирования и последующего осуществления перевода денежных средств.

Поставщиком платежного QR-кода может быть сторонняя организация, которая использует для формирования QR-кода прикладное ПО.

Формирование QR-кода получателем (сторонней организацией)

Рис. 5

Частные схемы процесса формирования QR-кода получателем могут быть реализованы в соответствии с разделом 2 приложения 2.

9. Безопасность использования QR-кодов при осуществлении переводов денежных средств

9.1. Общие положения

В соответствии с процессами, определенными на технологическом подэтапе "Формирование (подготовка), передача и прием QR-кода", в 9.2 обозначены типовые угрозы, реализуемые на данном подэтапе, для каждого типа QR-кода в статическом и динамическом сценариях.

В 9.3 обозначены меры защиты, актуальные для каждой угрозы, реализуемой на технологическом подэтапе "Формирование (подготовка), передача и прием QR-кода".

9.2. Типовые угрозы при осуществлении переводов денежных средств с использованием QR-кодов

Угрозы безопасности информации при осуществлении переводов денежных средств с использованием QR-кодов - это различные действия, которые могут привести к нарушению процессов осуществления переводов денежных средств, используя уязвимости, которыми обладают процессы и технические средства работы с QR-кодами. Реализация угрозы безопасности информации заключается в нарушении конфиденциальности, целостности и доступности информации, необходимой для совершения переводов денежных средств с использованием QR-кодов. При этом злоумышленник может предпринимать действия по модификации, уничтожению, блокированию информации, используемой в процессах переводов денежных средств.

Технологический подэтап "Формирование (подготовка), передача и прием QR-кода" разделен на три шага, на которых реализуются типовые угрозы для QR-кодов с данными и QR-кодов со ссылкой в статическом и динамическом сценариях. В табл. 1 представлены шаги на технологическом подэтапе, угрозы для каждого шага и их подробное описание, способы представления QR-кодов, объекты воздействия угроз, а также QR-коды, для которых актуальны такие угрозы.

Номер пункта таблицы соответствует шагу на технологическом подэтапе и угрозе и разделяется точкой. Следовательно, первая цифра пункта таблицы соответствует шагу на технологическом подэтапе, вторая - угрозе для этого шага на технологическом подэтапе. Например, номер 1.1, где согласно табл. 1 первая цифра - шаг "Формирование, передача и прием запроса (данных) для генерации QR-кода", а вторая - номер угрозы ("Угроза модификации запроса на формирование QR-кода").

Типовые угрозы безопасности в процессах переводов денежных средств с использованием QR-кодов

Табл. 1

N п/п	Шаг на технологическом подэтапе (индекс)	Наименование угрозы	Описание угрозы	Представление QR-кода	Объект воздействия	Тип QR-кода
						QR-код с данными		QR-код со ссылкой
Сценарии использования QR-кода						Статический	Динамический	Статический	Динамический
1.1	Формирование, передача и прием запроса (данных) для генерации QR-кода (ФППЗ)	Угроза модификации запроса на формирование QR-кода	Угроза заключается в возможности подмены реквизитов запроса на формирование QR-кода. Угроза возможна, если злоумышленник имеет доступ к одному из следующих процессов - формированию (подготовке), передаче, приему запроса	Получатель	Запрос на формирование QR-кода	+	+	+	+
				Плательщик		+	+	+	+
1.2		Угроза передачи неконтролируемых запросов на формирование QR-кода	Угроза обусловлена наличием несанкционированного доступа к АРМ ТСП, а также может быть вызвана ошибками прикладного ПО	Получатель	Сервис формирования данных для QR-кода	+	+	+	+
				Плательщик		+	+	+	+
1.3		Угроза модификации данных, содержащихся в запросе на формирование QR-кода	Угроза заключается в возможности злоумышленника модифицировать данные, используемые в запросе на формирование QR-кода. Угроза возможна, если злоумышленник имеет доступ к сервису формирования данных для QR-кода	Получатель	Сервис формирования данных для QR-кода; платежные реквизиты	+	+	+	+
				Плательщик		+	+	+	+
2.1	Формирование и представление QR-кода плательщиком/ получателем (ФиП)	Угроза модификации QR-кода при его формировании	Угроза заключается в возможности модификации QR-кода в процессе его преобразования в графический вид. Угроза возможна, если злоумышленник имеет доступ к сервису преобразования QR-кода в графический вид	Получатель	Алгоритм преобразования QR-кода в графический вид	+	+	+	+
				Плательщик		+	+	+	+
2.2		Угроза подмены QR-кода	Угроза заключается в подмене всего изображения QR-кода или подмене отдельных значений QR-кода злоумышленником	Получатель	QR-код	+	+	+	+
				Плательщик		+	+	+	+
2.3		Угроза кражи QR-кода плательщика	Угроза обусловлена возможностью злоумышленника похитить QR-код, сформированный плательщиком для получателя с целью совершения перевода денежных средств	Плательщик	QR-код	+	+	+	+
2.4		Угроза неконтролируемой передачи запросов на активацию QR-кода или ссылки	Угроза обусловлена наличием несанкционированного доступа к АРМ ТСП, а также может быть вызвана ошибками прикладного ПО или ошибочными действиями персонала	Получатель	Ресурс, на который ведет QR-код или платежная ссылка	-	-	+	+
				Плательщик		-	-	+	+
2.5		Угроза включения в QR-код избыточных данных	Угроза заключается в добавлении избыточных конфиденциальных данных в QR-код в открытом виде	Получатель	QR-код	+	+	+	+
				Плательщик		+	+	+	+
3.1	Сканирование и получение данных из QR-кода для дальнейшего осуществления перевода денежных средств (СиП)	Угроза повторного проведения перевода денежных средств	Угроза возможна, в случае если операция повторно проводится по одному и тому же QR-коду	Получатель	QR-код	+	+	+	+
				Плательщик		+	+	+	+
3.2		Угроза внедрения вредоносного кода (вызова удаленных процедур) с использованием QR-кода на устройстве плательщика	Угроза обусловлена отсутствием мер по контролю целостности данных (QR-кода), а также отсутствием мер по запрету на выполнение вызова удаленных процедур ЭСП / платежным приложением	Получатель	QR-код	+	+	+	+
				Плательщик		+	+	+	+
3.3		Угроза фишинга	Угроза заключается в перенаправлении плательщика/ получателя на сторонний сервис для выполнения операций, вследствие сканирования модифицированного злоумышленником QR-кода	Получатель	QR-код	+	+	+	+
				Плательщик		+	+	+	+
3.4		Угроза утечки конфиденциальных данных, содержащихся в QR-коде плательщика	Угроза обусловлена возможностью злоумышленника получить платежные данные, хранящиеся в QR-коде в открытом виде. Угроза актуальна для QR-кода с данными, сформированного плательщиком	Плательщик	QR-код	+	+	-	-

9.3. Типовые меры защиты информации при осуществлении переводов денежных средств с использованием QR-кодов

Применение QR-кодов является удобным способом для осуществления переводов денежных средств, который активно внедряется организациями. В связи с этим организации должны обеспечивать соответствующий уровень защиты информации при использовании QR-кодов в процессах переводов денежных средств для предотвращения мошенничества. В целях повышения безопасности процессов, в которых применяются QR-коды, необходимо применять определенные меры защиты информации, которые нейтрализуют типовые угрозы.

Меры, направленные на минимизацию угроз информационной безопасности, реализованные на подэтапе "Формирование (подготовка), передача и прием QR-кода", при использовании QR-кодов для осуществления переводов денежных средств отражены в табл. 2 [8], [9].

Номер меры защиты информации соответствует технологическому подэтапу, угрозе и мере защиты информации, которые разделяются точкой. Следовательно, первая цифра соответствует шагу на технологическом подэтапе / технологическому участку, вторая цифра - угрозе, которая может быть реализована, третья - мере защиты информации. Например, номер 1.1.1, где первая цифра является шагом "Формирование, передача и прием запроса (данных) для генерации QR-кода", вторая - номером угрозы ("Угроза модификации запроса на формирование QR-кода"), третья - номером меры защиты ("Контроль правильности заполнения полей запроса на формирование QR-кода").

Типовые меры безопасности в процессах с использованием QR-кодов

Табл. 2

Шаг на технологическом подэтапе/технологический участок	N угрозы	N меры защиты	Наименование меры защиты	Описание меры защиты, возможная реализация	Сценарий QR-кода
					Статический	Динамический
Формирование, передача, обработка запроса (данных) для генерации QR-кода	1.1	1.1.1	Контроль правильности заполнения полей запроса на формирование QR-кода	Проведение контроля заполнения всех полей запроса, направляемого получателем/ плательщиком поставщику платежного QR-кода в соответствии с требованиями настоящего стандарта	+	+
	1.1	1.1.2	Контроль целостности запроса на получение QR-кода (например, с использованием MAC)	Обеспечение целостности сообщений, содержащих запросы на генерацию QR-кода, с использованием криптографических алгоритмов, определенных национальными стандартами Российской Федерации	+	+
	1.1	1.1.3	Использование защищенного канала связи для передачи запроса на генерацию QR-кода	- Обеспечение защиты канала связи в соответствии с ГОСТ Р 34.12-2015 с использованием протокола TLS (с двухсторонней аутентификацией - при наличии технической возможности); или - обеспечение защиты канала связи на канальном или сетевом уровне с использованием средств криптографической защиты информации, прошедших оценку соответствия требованиям федерального органа исполнительной власти в области обеспечения безопасности	+	+
	1.1	1.1.5	Проверка полномочий на выполнение запроса формирования QR-кода	Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных, с которых производится формирование и передача запроса на генерацию QR-кода в соответствии со стандартом Банка России СТО БР БФБО-1.7-2023	+	+
	1.2	1.2.1	Контроль на предмет отсутствия дублирования запросов (как исходящих, так и входящих) на формирование QR-кода	Осуществление контроля на предмет отсутствия дублирования запросов на формирование QR-кода перед отправлением и при приеме. Контроль происходит путем сверки уникального идентификатора запроса и идентификатора операции с уже имеющейся базой запросов на формирование QR-кодов или платежных ссылок	+	+
	1.2	1.2.2	Определение лимита запросов на формирование QR-кода	Определение лимитов запросов на формирование QR-кода с учетом потребностей получателя/плательщика и на основе анализа рисков поставщика платежного QR-кода	+	+
Формирование, передача, обработка запроса (данных) для генерации QR-кода	1.3	1.3.1	Контроль значений реквизитов, помещаемых в QR-код или платежную ссылку, на соответствие значениям реквизитов платежа, полученным в запросе на генерацию QR-кода	Сравнение всех значений реквизитов, помещаемых в QR-код или платежную ссылку, со значениями, полученными в запросе на формирование QR-кода	+	+
	1.3	1.3.2	Обеспечение целостности данных запроса на формирование QR-кода (например, с использованием MAC) / применение механизмов и (или) протоколов передачи данных для формирования QR-кода, обеспечивающих защиту этих данных от искажения, фальсификации, переадресации	Обеспечение целостности данных, используемых для формирования и представления QR-кода, с использованием криптографических алгоритмов, определенных национальными стандартами Российской Федерации	+	+
	1.3	1.3.3	Использование защищенного канала связи при передаче запроса с данными, используемыми для формирования QR-кода	- Обеспечение защиты канала связи в соответствии с ГОСТ Р 34.12-2015 с использованием протокола TLS (с двухсторонней аутентификацией - при наличии технической возможности); или - обеспечение защиты канала связи на канальном или сетевом уровне с использованием средств криптографической защиты информации, прошедших оценку соответствия требованиям федерального органа исполнительной власти в области обеспечения безопасности	+	+
	1.3	1.3.4	Идентификация и аутентификация устройства, с которого передается запрос для формирования QR-кода	Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных, с которых производится отправка данных для формирования QR-кода в соответствии со стандартом Банка России СТО БР БФБО-1.7-2023, а также национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017	+	+
	1.3	1.3.5	Обработка запросов на формирование QR-кода в системе, обрабатывающей запросы, соответствующей требованиям безопасности	Обеспечение соответствия системы поставщика платежного QR-кода, обрабатывающей запрос с данными для формирования QR-кода, требованиям национального стандарта Российской Федерации ГОСТ Р 57580.1-2017	+	+
Формирование, передача, обработка запроса (данных) для генерации QR-кода	2.3	2.3.1	Формирование метки времени в зашифрованном виде, содержащейся в QR-коде, и ограничение времени жизни для данного QR-кода	- Добавление в QR-код метки времени по факту его формирования (или формирования данных для его генерации) с использованием односторонней хеш-функции, полученной в соответствии с ГОСТ Р 34.11-2012, или ключевой хеш-функции, основанной на использовании отечественных криптографических алгоритмов шифрования; - ограничение времени жизни динамического QR-кода, которое не превышает две минуты	+	+
	2.5	2.5.1	Ограничение на использование конфиденциальных данных в открытом виде в составе данных QR-кода	Контроль отсутствия конфиденциальной информации в составе данных QR-кода	+	+
	2.5	2.5.2	Разработка и утверждение внутреннего регламентирующего документа, где будет отражен состав данных, разрешенных для включения в QR-код	Утверждение внутреннего регламентирующего документа, в котором будет описан состав данных, разрешенный для включения в QR-код	+	+
	3.1	3.1.5	Установление лимита операций для статического QR-кода плательщика	Определение банком плательщика лимитов операций для статического QR-кода, необходимых для осуществления плательщиком переводов денежных средств, в соответствии с определенными в организации уровнями рисков	+	-
	3.4	3.4.1	Обезличивание данных плательщика/ получателя	- Применение технологии токенизации данных в QR-кодах; - минимизация использования конфиденциальных данных и данных, утечка которых может привести к осуществлению операций без добровольного согласия клиента, в динамических QR-кодах; - применение коротких ссылок, ведущих на защищенный ресурс, где находятся данные	+	+
	3.4	3.4.2	Защита от несанкционированного просмотра данных, получаемых при сканировании QR-кода	Использование алгоритмов шифрования данных, содержащихся в QR-коде для сокрытия реквизитов	+	+
	3.4	3.4.4	Ограничения по лимиту операций и сроку жизни QR-кода (актуально для QR-кода в статическом сценарии со ссылкой)	- Ограничение срока жизни QR-кода - Установление лимита по сумме	+	-
Формирование и представление QR-кода плательщиком/ получателем	1.3	1.3.6	Контроль соответствия сформированной строки для QR-кода запросу на формирование	Обеспечение сверки ЭСП / платежным приложением плательщика и получателя полученной от поставщика платежного QR-кода строки с данными для преобразования в QR-код на соответствие отправленному запросу на формирование QR-кода	+	+
	2.1	2.1.1	Применение механизмов, обеспечивающих защиту алгоритмов преобразования QR-кода в графический вид для прикладного ПО (применение средств контроля целостности, обеспечение обновлений ПО из доверенного источника)	- Обеспечение контроля целостности ПО для преобразования QR-кода в графический вид (генератора QR-кода и среды его функционирования) средствами контроля целостности, имеющих сертификат соответствия ФСТЭК России; - проведение тестирования обновлений (интеграционное, функциональное) перед обновлением ПО, формирующего QR-код; - изоляция процесса (преобразования QR-кода в графический вид) в выделенной области памяти	+	+
	2.3	2.3.2	Аутентификация плательщика до отображения/преобразования строки в QR-код (графический вид)	Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных, на которых отображается QR-код в соответствии со стандартом Банка России СТО БР БФБО-1.7-2023	+	+
	2.3	2.3.5	Установление по умолчанию запрета на скриншот экрана, где размещено изображение QR-кода плательщика, и на отображение экрана сторонним приложениям	Установка запрета на снимок экрана, где размещено изображение QR-кода	+	+
	2.4	2.4.1	Контроль на предмет отсутствия дублирования запросов на активацию ресурса, на который ведет QR-код или платежная ссылка	Осуществление контроля на предмет отсутствия дублирования запросов на активацию ресурса, на который ведет QR-код / платежная ссылка перед отправлением получателем и при приеме таких запросов поставщиком платежного QR-кода	+	-
	2.4	2.4.3	Ограничение возможности передачи запросов на активацию ресурса, на который ведет QR-код или платежная ссылка	Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных, с которых передается запрос на активацию ресурса, на который ведет QR-код, в соответствии с рекомендациями стандарта Банка России СТО БР БФБО-1.7-2023	+	-
Сканирование и получение данных из QR-кода для дальнейшего осуществления перевода денежных средств	2.1	2.1.2	Отображение реквизитов, содержащихся в QR-коде, плательщику для принятия решения по его использованию	Отображение плательщику реквизитов операции, полученных из QR-кода или платежной ссылки, предоставленных получателем платежа. Запрос подтверждения плательщика правильности заполненных реквизитов платежа	+	+
	2.2	2.2.1	Применение защитных механизмов при распечатывании статических QR-кодов, позволяющих пользователю заметить его подмену	- Использование визуальных эффектов (логотипов) для формирования отличительных признаков от обычных QR-кодов. Мера направлена на повышение сложности подделки QR-кода с визуальным эффектом; - использование голографических изображений на распечатанных QR-кодах	+	-
	2.2	2.2.3	Отображение реквизитов операции, содержащихся в QR-коде, плательщику для принятия решения по его использованию	Отображение реквизитов операции плательщику (например, ссылка на ресурс) и запрос на подтверждение действий	+	+
	2.2	2.2.4	Проверка данных из QR-кода, необходимых для формирования электронного сообщения	Проведение проверки целостности данных поставщиком платежного QR-кода, содержащихся в отсканированном QR-коде с использованием хеш-функции, сформированной по ГОСТ Р 34.11-2012, или ключевой хеш-функции, основанной на использовании отечественных криптографических алгоритмов шифрования	+	+
	3.2 3.3	3.2.1	Отображение реквизитов операции, содержащихся в QR-коде, плательщику для принятия решения по осуществлению операции	Отображение плательщику реквизитов операции, полученных из QR-кода или платежной ссылки. Запрос подтверждения плательщика о правильности заполненных реквизитов	+	+
	3.2 3.3	3.2.2	Использование средства защиты от вредоносного кода	- Встраивание в ЭСП / платежные приложения, обрабатывающие QR-код, модулей антивирусного ПО для проверки QR-кода на наличие вредоносного кода; - непрерывное обновление сигнатур баз данных приложений для сканирования QR-кодов; - подготовка рекомендаций и информирование плательщиков по использованию антивирусного ПО; - внедрение процедур проверки содержимого QR-кода, в том числе проверка URL-адреса короткой ссылки по спискам вредоносных ссылок	+	+
	3.2 3.3	3.2.3	Внедрение процедур проверки QR-кода в ПО	Внедрение процедуры проверки подлинности QR-кода	+	+
Идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций	1.1	1.1.4	Проверка полномочий на выполнение запроса формирования QR-кода	- Идентификация и аутентификация плательщика/получателя при входе в ЭСП / при входе в мобильное устройство для доступа к платежному приложению; - запрет действий плательщика/получателя до идентификации и аутентификации в ЭСП / платежном приложении; - запрет действий плательщика/получателя до идентификации и аутентификации в ЭСП / на мобильном устройстве для доступа к платежному приложению	+	+
	2.3	2.3.2	Аутентификация плательщика до отображения/преобразования строки в QR-код (графический вид)	- Идентификация и аутентификация плательщика в ЭСП / платежном приложении, отображающем QR-код; - запрет действий плательщика по использованию QR-кода до проведения идентификации и аутентификации в ЭСП / платежном приложении	+	+
	2.4	2.4.3	Ограничение возможности передачи запросов на активацию ресурса, на который ведет QR-код или платежная ссылка	- Идентификация и аутентификация пользователей, являющихся работниками получателя, при входе в приложение; - запрет действий получателя до идентификации и аутентификации в приложении	+	-
Формирование (подготовка), передача и прием электронных сообщений	3.1	3.1.6	Контроль дублирования данных и операции перевода денежных средств	Присвоение банком плательщика уникального идентификатора для каждой операции осуществления перевода денежных средств, проводимой с использованием QR-кода	+	+
Удостоверение права клиентов распоряжаться денежными средствами	1.1	1.1.6	Использование геометок для динамических QR-кодов	Поставщик платежного QR-кода проверяет местонахождение получателя/ плательщика (при наличии/возможности сбора информации о географическом местоположении) во время обработки платежа. Геометка, полученная в запросе на создание QR-кода, должна совпадать с геометкой, направляемой в ЭС	-	+
	2.3	2.3.4	Установление лимита операций для QR-кода плательщика	Лимиты платежей и лимиты суммы платежей для QR-кода определяются внутренними регламентирующими документами поставщика платежного QR-кода на основании анализа рисков	+	+
	2.3	2.3.7	Подтверждение операции по QR-коду плательщиком	Подтверждение операции плательщиком в ЭСП / платежном приложении с использованием дополнительных факторов аутентификации в соответствии со СТО БР БФБО-1.8-2024	+	+
	3.1	3.1.4	Осуществление антифрод-мероприятий	Антифрод-мероприятия проводятся в соответствии с уровнями риска, определенными банком плательщика, банком получателя для переводов денежных средств	+	+
Удостоверение права клиентов распоряжаться денежными средствами	3.1	3.1.5	Установление лимита операций для статического QR-кода плательщика	Определение банком плательщика лимитов для операций со статическим QR-кодом, необходимых для осуществления плательщиком переводов денежных средств, в соответствии с определенными в организации уровнями рисков	+	-
Осуществление банковской операции, учет результатов ее осуществления	3.1	3.1.1	Деактивация ресурса, на который ведет короткая ссылка из QR-кода, после завершения платежа (актуально для QR-кода в статическом сценарии со ссылкой)	Ресурс, на который ведет короткая ссылка из QR-кода, может быть использован только один раз (то есть деактивироваться сразу после совершения перевода денежных средств)	+	-
	3.1	3.1.2	Применение уникального идентификатора для каждой операции	Присваивание каждой операции, совершаемой с использованием QR-кода, уникального идентификатора в течение операционного дня	+	+
	3.1	3.1.3	Уничтожение динамического QR-кода после осуществления операции	Обеспечение уничтожения QR-кода плательщика/получателя в динамическом сценарии сразу после осуществления перевода денежных средств. Время жизни динамического QR-кода не должно превышать две минуты	-	+

	3.1	3.1.7	Контроль дублирования данных и операции перевода денежных средств	Обеспечение проверки банком плательщика на предмет дублирования данных операции по переводу денежных средств, которая происходит на основании данных из QR-кода	+	+
	3.1	3.1.8	Уведомление о совершенной операции по QR-коду	Обеспечение передачи уведомления плательщику о списании денежных средств по операции с использованием QR-кода. Обеспечение передачи уведомления получателю о зачислении денежных средств по операции с использованием QR-кода	+	+
	3.4	3.4.3	Деактивация ресурса, на который ведет ссылка из QR-кода после осуществления операции (актуально для QR-кода в динамическом сценарии со ссылкой)	Использование процесса деактивации ресурса, на который ведет ссылка из QR-кода, после осуществления перевода денежных средств	-	+
Все шаги технологического подэтапа/технологические участки	2.2	2.2.2	Разработка рекомендаций для пользователей по использованию QR-кодов	- Добавление в рекомендации правил использования, возможные риски использования QR-кодов, сканеров QR-кодов и меры по снижению рисков; - доведение рекомендаций по обеспечению безопасности QR-кодов понятным и доступным для пользователей образом (например, рекомендации могут быть в платежных приложениях в виде новостей)	+	+
	2.3	2.3.3	Учет рисков при осуществлении переводов денежных средств с использованием офлайн-QR-кода	Обеспечение учета рисков при осуществлении переводов денежных средств с использованием офлайн-QR-кода. Определение лимитов офлайн-операций в целом и лимитов суммы офлайн-операций с использованием QR-кода. Лимиты операций определяются внутренними регламентирующими документами поставщика платежного QR-кода	+	-
	2.3	2.3.6	Информирование владельца QR-кода через ЭСП / платежное приложение о необходимости обязательной блокировки операций по украденным QR-кодам	Информирование владельца QR-кода через ЭСП / платежное приложение о необходимости обязательной блокировки операций по украденным QR-кодам. Внесение в договор с клиентом информации о необходимости информирования банка плательщика о краже QR-кода	+	+
	2.4	2.4.2	Разработка рекомендаций и (или) требований для ТСП по обеспечению информационной безопасности для оборудования, обеспечивающего операции с использованием QR-кода	Разработка рекомендаций по информационной безопасности для ТСП при осуществлении операций с использованием QR-кодов, формируемых поставщиком платежного QR-кода. Социальная реклама и обучение работников ТСП, которые взаимодействуют с поставщиком платежного QR-кода	+	+
	3.2 3.3	3.2.4	Повышение уровня осведомленности плательщиков/ получателей при использовании платежных QR-кодов	Подготовка обучающих материалов по безопасному использованию QR-кодов, различных сканеров QR-кодов для их распознавания, распространение среди плательщиков/получателей, использующих платежные QR-коды (например, публикация информации в платежных приложениях, ЭСП, СМИ, по телевидению)	+	+

------------------------------

¹ Полное название технологического участка указано в абзаце втором подпункта 5.2 пункта 5 Положения Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".

------------------------------

Список источников

1. Положение Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".

2. Положение Банка России от 17.08.2023 N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".

3. Стандарт ОПКЦ СБП. Термины и сокращения. П. 226. Версия 1.1.

4. Федеральный закон от 27.06.2011 N 161-ФЗ "О национальной платежной системе" (с изменениями и дополнениями).

5. EMV QR Code Specification for Payment Systems (EMV QRCPS) Consumer-Presented Mode - https://wwwemvco.com/specifications/emv-qr-code-specification-for-payment-systems-emv-qrcps-consumer-presented-mode/.

6. EMV QR Code Specification for Payment Systems (EMV QRCPS) Merchant-Presented Mode - https://www.emvco.com/specifications/emv-qr-code-specification-for-payment-systems-emv-qrcps-merchant-presented-mode/.

7. Alipay Global Portal - https://global.alipay.com/docs/.

8. ISO/DIS 20937:2023 "Financial services - Specification of QR-codes for mobile (instant) credit transfers" (www.iso.org).

9. ISO/DIS 5201:2022 "Financial services - Code-scanning payment security" (www.iso.org).

10. Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 18004-2015 "Информационные технологии. Технологии автоматической идентификации и сбора данных. Спецификация символики штрихового кода QR Code".

11. Standardisation of QR-codes for Mobile Initiated SEPA (Instant) Credit Transfers EPC024-22 Version 0.6 / Date issued: 16 February 2022 - https://www.europeanpaymentscouncil.eu/sites/default/files/kb/file/2022-02/EPC024-22v0.6%20Standardisation%20of%20QR-codes%20for%20MSCTs.pdf.