Приложение 4. Процесс оплаты с представлением статического/ динамического QR-кода в ЭСП. Стандарт Банка России СТО БР БФБО-1.9-2024 "Безопасность финансовых (банковских) операций. Обеспечение безопасности использования QR-кодов при осуществлении переводов денежных средств" (принят и введен в действие приказом Банка России от 28.12.2024 N ОД-2367)

Приложение 4. Процесс оплаты с представлением статического/ динамического QR-кода в ЭСП

Сценарий процесса

Плательщик проходит аутентификацию в ЭСП, выбирает реквизиты для оплаты, статический/ динамический сценарий для QR-кода (для статического сценария вводится сумма), передает запрос на формирование поставщику платежного QR-кода (банк плательщика).

Поставщик платежного QR-кода проверяет возможность формирования QR-кода.

При положительном результате проверок формируется QR-код (для QR-кода в статическом сценарии рекомендовано уменьшать сумму денежных средств, доступных плательщику для осуществления перевода).

Плательщик представляет QR-код получателю для сканирования. Получатель сканирует QR-код и передает авторизационный запрос в банк получателя. Банк получателя передает запрос в банк плательщика через платежную систему. Банк плательщика проверяет возможность перевода денежных средств. При положительном результате банк плательщика списывает денежные средства плательщика, банк получателя зачисляет денежные средства получателю.

Схемы процесса представлены на рис. 14-16. Меры защиты на технологических участках и подэтапах приведены в табл. 11.

Меры защиты для QR-кодов в платежном приложении при осуществлении оплаты

Табл. 11

N	Подэтап/технологический участок	Меры защиты
1.	Формирование, передача, обработка запроса (данных) для генерации QR-кода	Меры защиты из раздела 9.3: 1.1.1-1.1.3, 1.1.5, 1.2.1, 1.2.2, 1.3.1-1.3.5, 2.3.1, 2.5.1, 2.5.2, 3.4.1, 3.4.2
2.	Формирование и представление QR-кода плательщиком/получателем	1.3.6, 2.1.1, 2.3.2, 2.3.5, 2.4.1, 2.4.3
3.	Сканирование и получение данных из QR-кода для дальнейшего осуществления перевода денежных средств	2.1.2, 2.2.3, 2.2.4, 3.2.1-3.2.3
4.	Идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций	1.1.4, 2.3.2, 2.4.3
5.	Формирование (подготовка), передача и прием электронных сообщений	3.1.6
6.	Удостоверение права клиентов распоряжаться денежными средствами	1.1.6, 2.3.4, 2.3.7, 3.1.4, 3.1.5
7.	Осуществление банковской операции, учет результатов ее осуществления	3.1.1-3.1.3, 3.1.7, 3.1.8, 3.4.3
8.	Все шаги технологического подэтапа / технологические участки	2.2.2, 2.3.3, 2.3.6, 2.4.2, 3.2.4

Формирование QR-кода в ЭСП

Рис. 14

Предъявление QR-кода плательщиком

Рис. 15

Оплата по QR-коду в ТСП

Рис. 16

Открыть документ в системе ГАРАНТ

Открыть в бесплатной Интернет-версии Открыть в Интернет-версии (только для пользователей системы ГАРАНТ)