Приложение 6. Процесс оплаты с представлением статического/динамического QR-кода в платежном приложении. Стандарт Банка России СТО БР БФБО-1.9-2024 "Безопасность финансовых (банковских) операций. Обеспечение безопасности использования QR-кодов при осуществлении переводов денежных средств" (принят и введен в действие приказом Банка России от 28.12.2024 N ОД-2367)

Приложение 6. Процесс оплаты с представлением статического/динамического QR-кода в платежном приложении

Сценарий процесса

Плательщик в платежном приложении добавляет токенизированную (цифровую) карту для возможности формирования QR-кода в статическом/динамическом сценарии.

Плательщик выбирает карту, статический/динамический сценарий для формирования QR-кода и передает запрос на его создание (для QR-кода в статическом сценарии вводится сумма). Сервер поставщика платежного приложения передает запрос через платежную систему в сервис токенизации на поиск соответствующего токена. При наличии данных карты по соответствующему токену передается запрос в банк плательщика через платежную систему, чтобы проверить возможность перевода денежных средств. Банк плательщика при положительном результате проверок передает ответ на запрос через платежную систему на сервер поставщика платежного приложения (для QR-кода в статическом сценарии рекомендуется осуществлять заморозку денежных средств на карте плательщика). На сервере поставщика платежного приложения формируется QR-код и передается в платежное приложение.

Плательщик представляет получателю QR-код для сканирования. Получатель сканирует QR-код и передает авторизационный запрос в банк получателя. Банк получателя передает авторизационный запрос в платежную систему. Платежная система передает запрос на поиск токена в сервис токенизации. При наличии токена передается запрос с данными из платежной системы в банк плательщика. Банк плательщика проверяет возможность осуществления перевода денежных средств. При положительном результате проверок банк плательщика списывает денежные средства со счета плательщика, банк получателя зачисляет денежные средства на счет получателя.

Схемы процесса представлены на рис. 21-24. Меры защиты на технологических участках и подэтапах приведены в табл. 13.

Меры защиты при оплате по статическому/динамическому QR-коду в платежном приложении

Табл. 13

N	Подэтап/технологический участок	Меры защиты
1.	Формирование, передача, обработка запроса (данных) для генерации QR-кода	Меры защиты из раздела 9.3: 1.1.1-1.1.3, 1.2.1, 1.2.2, 1.3.1-1.3.3, 1.3.5, 2.3.1, 2.5.1, 2.5.2, 3.4.1, 3.4.2
2.	Формирование и представление QR-кода плательщиком/получателем	1.3.6, 2.1.1, 2.3.5, 2.4.1, 2.4.3
3.	Сканирование и получение данных из QR-кода для дальнейшего осуществления перевода денежных средств	2.1.2, 2.2.3, 2.2.4, 3.2.1-3.2.3
4.	Идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций	1.1.4, 2.3.2
5.	Формирование (подготовка), передача и прием электронных сообщений	3.1.6
6.	Удостоверение права клиентов распоряжаться денежными средствами	2.3.4, 2.3.7, 3.1.4, 3.1.5
7.	Осуществление банковской операции, учет результатов ее осуществления	3.1.1-3.1.3, 3.1.7, 3.1.8, 3.4.3, 3.4.4
8.	Все шаги технологического подэтапа / технологические участки	2.2.2, 2.3.3, 2.3.6, 3.2.4

Формирование статического QR-кода в платежном приложении для оплаты

Рис. 21

Формирование динамического QR-кода в платежном приложении

Рис. 22

Предъявление QR-кода плательщиком

Рис. 23

Оплата по QR-коду плательщика в платежном приложении

Рис. 24

Открыть документ в системе ГАРАНТ

Открыть в бесплатной Интернет-версии Открыть в Интернет-версии (только для пользователей системы ГАРАНТ)