Стандарты кода
Центробанк указал на основные угрозы использования платежного кода и определил меры по их нивелированию. Банки оценили описанные риски и меры защиты как достаточные для создания безопасной экосистемы платежей
Банк России разработал и утвердил стандарт, определяющий правила безопасного использования QR-кодов для платежей и переводов. Банки, некредитные финансовые организации, операционный и платежный клиринговый центр СБП, поставщики платежных приложений и иные организации, использующие QR-код, смогут разработать на основе регламента ЦБ свои внутренние меры защиты, говорится в документе. Стандарт носит рекомендательный характер и вступит в силу 17 февраля.
Документ подробно описывает виды платежных кодов, механизмы их формирования, сценарии применения и проведения оплаты по ним. Регулятор выделил четыре основных типа QR-кодов в зависимости от состава хранимой информации. Первый – платежный код с реквизитами плательщика, который формируется им самим и содержит информацию для переводов, например реквизиты карты или счета. Второй – код с реквизитами получателя. Он формируется получателем/поставщиком платежного QR-кода и содержит данные, необходимые для перевода денежных средств (информация об операции), либо платежные реквизиты получателя. Третий тип – с платежной ссылкой плательщика, а четвертый – с платежной ссылкой получателя. В обоих случаях эту ссылку формирует поставщик QR и перенаправляет человека на сайт с данными, которые необходимы для совершения платежа.
Согласно стандарту, платежный код может использоваться в двух сценариях: в виде динамического QR, который формируется для конкретной операции, и статического QR, который создается однократно для регулярного использования при переводах и содержит как платежную ссылку, так и реквизиты плательщика/получателя.
Объем угроз
В зависимости от вида QR-кодов ЦБ систематизировал угрозы, которые могут возникнуть на каждом этапе операции, и представил типовые способы защиты от них. Среди рисков – изменение данных в запросе или самого запроса на формирование QR-кода и модификация кода. Еще Банк России выделяет угрозу передачи неконтролируемых запросов на формирование или активацию QR-кода (возникает из-за несанкционированного доступа к системам торговой точки или ошибок ПО). Среди описанных в стандарте угроз также есть подмена QR-кода, его кража, проведение повторного перевода денежных средств, фишинг и внедрение вредоносных программ через QR на устройство плательщика. К рискам регулятор относит и включение в платежные коды избыточных конфиденциальных данных и риск их утечки.