Проект разработан для усиления безопасности программного обеспечения при предоставлении микрокредитов электронным способом.
В пояснительной записке говорится, что проект разработан для усиления безопасности программного обеспечения при предоставлении микрокредитов электронным способом.
Согласно проекту, в правила добавят понятие "автоматизированная информационная система" – информационная система, автоматизирующая предоставление микрокредитов электронным способом в организации, осуществляющей микрофинансовую деятельность.
Работа личного кабинета граждан, которые планируют либо уже взяли кредиты, будет также организована при помощи автоматизированной информационной системы.
При этом веб-приложение позволит обеспечить:
- однозначность идентификации принадлежности веб-приложения организации, осуществляющей микрофинансовую деятельность (доменное имя, логотипы, корпоративные цвета);
- запрет на сохранение в памяти браузера авторизационных данных;
- маскирование вводимых секретов;
- информирование на странице авторизации клиента о мерах обеспечения кибергигиены, которым рекомендуется следовать при использовании веб-приложения;
- обработку ошибок и исключений безопасным способом, не допуская отображение в интерфейсе клиента конфиденциальных данных, предоставляя минимально достаточную информацию об ошибке.
В свою очередь, мобильное приложение обеспечивает:
- однозначность идентификации принадлежности мобильного приложения организации, осуществляющей микрофинансовую деятельность, (данные в официальном магазине приложений, логотипы, корпоративные цвета);
- блокировку функционала по предоставлению микрокредитов электронным способом организации, осуществляющей микрофинансовую деятельность, в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удалённого управления;
- уведомление клиента о наличии обновлений мобильного приложения;
- возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей;
- хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учётных данных;
- исключение кэширования конфиденциальных данных;
- исключение из резервных копий мобильного приложения конфиденциальных данных;
- информирование клиента о действенных методах обеспечения кибергигиены, которым рекомендуется следовать при использовании мобильного приложения;
- информирование клиента о событиях авторизации под его учётной записью, изменения и (или) восстановления пароля, изменения, зарегистрированного организацией, осуществляющей микрофинансовую деятельность, номера мобильного телефона;
- в ходе осуществления операций с денежными средствами – передачу в серверное ППО организации, осуществляющей микрофинансовую деятельность, геолокационных данных мобильного устройства при наличии разрешения от клиента, либо передачу информации об отсутствии такого разрешения.
Для идентификации и аутентификации клиента в личном кабинете клиента используются следующие способы:
- ЭЦП клиента, представленная национальным удостоверяющим центром РК;
- биометрическая идентификация клиента посредством использования услуг ЦОИД;
- двухфакторная аутентификация клиента.
Двухфакторная аутентификация клиента осуществляется путём применения как минимум двух из следующих факторов:
- подтверждение фактора знания: ввода клиентом самостоятельно заданного при регистрации пароля или кодового слова;
- подтверждение фактора владения: ввода клиентом одноразового пароля, автоматически сгенерированного токеном, зарегистрированным за клиентом, или подключения к устройству считывания клиентом смарт-карты, зарегистрированной за клиентом, или ввода клиентом одноразового пароля, с проверкой принадлежности клиенту данного абонентского номера путём сверки ИИН клиента с ИИН владельца абонентского номера в базе данных оператора мобильной связи или получения информации о принадлежности клиенту данного абонентского номера путём сверки ИИН клиента в базе номеров мобильных телефонов клиентов посредством веб-портала "электронного правительства";
- подтверждение фактора неотъемлемости: сверки изображения лица клиента в режиме реального времени с его изображением на документе, удостоверяющем личность, при которой обеспечивается защита от использования вместо изображения в режиме реального времени лица клиента статичного изображения или видеозаписи лица клиента.
Регистрация клиента в личном кабинете будет проходить с применением, как минимум, двух способов аутентификации, указанных выше, одним из которых является биометрическая идентификация.
Данная мера предусмотрена в целях повышения безопасности оказания финансовой услуги путём дополнительной проверки данных и исключения возможности оформления микрокредита мошенническим путём.
До предоставления микрокредита электронным способом МФО будет:
- запрашивать у клиента способ предоставления микрокредита (посредством выдачи клиенту наличных денег через терминал или кассу, или перевода микрокредита на банковский счёт (платежную карточку) клиента или банковский счёт юридического лица, с которым у организации, осуществляющей микрофинансовую деятельность, заключен договор, предусматривающий оплату за приобретаемый товар или выполненные работы, услуги заемщиком);
- запрашивать реквизиты банковского счета (IBAN) и/или реквизиты платежной карточки клиента, в случае предоставления микрокредита на банковский счёт (платежную карточку) клиента.
Это делается с целью регламентации способа предоставления микрокредита, а также процедуры ввода банковского счета (IBAN) и/или реквизитов платежной карточки заемщика при получении им микрокредита безналичным способом.
Заключение договора о предоставлении микрокредита, внесение изменений и дополнений в договор о предоставлении микрокредита электронным способом между МФО и клиентом, осуществляется посредством аутентификации клиента с использованием, как минимум, двух способов аутентификации.
Перевод микрокредита по заявлению заемщика на банковский счёт юридического лица, с которым у организации, осуществляющей микрофинансовую деятельность, заключен договор, предусматривающий оплату за приобретаемый товар или выполненные работы, услуги заемщиком, осуществляется посредством аутентификации клиента с использованием, как минимум, двух способов.
Предоставление заемщику микрокредита через кассу осуществляется путём проведения визуальной идентификации клиента, получающего наличные деньги, с документом, удостоверяющим его личность, либо данными, подтверждающими (идентифицирующими) личность клиента, полученными посредством сервиса цифровых документов.
Эти меры дополнительные меры защиты также предусмотрены для подтверждения достоверности и принадлежности электронного документа заемщику и соответственно исключения возможности перевода суммы микрокредита, оформленного мошенническим путём на счета сторонних лиц.
Помимо этого поправками предлагается внедрение ряда мер для защиты граждан, на которых уже были оформлены кредиты мошенниками.
Так, для выявления и установления виновных лиц требуется дополнительное время, что влечет увеличение просроченной задолженности, а также негативные последствия для заемщика, связанные с взысканием просроченной задолженности путём выставления платежных требований, привлечением коллекторских агентств и так далее, что вызывает недовольство граждан. При выдаче микрокредитов, МФО принимают на себя риски невозврата задолженности и обязаны минимизировать потери для обеих сторон, как для микрофинансовой организации, так и для потенциального потребителя финансовых услуг.
В связи с этим разработчики предлагают, чтобы в отношении граждан, признанных потерпевшими от действий мошенников, оформивших на них микрокредиты:
- приостанавливалось начисление вознаграждения по такому микрокредиту;
- приостанавливалось направление в кредитные бюро информации о наличии задолженности клиента по микрокредиту;
- направлялось письменное уведомление клиенту о приостановлении начисления вознаграждения по микрокредиту, взыскания задолженности и проведения претензионно-исковой работы по клиенту.
На основании вступившего в законную силу приговора суда, в котором установлен факт неполучения клиентом микрокредита, МФО в течение 15 рабочих дней:
- принимает решение о списании задолженности клиента по данному микрокредиту;
- в кредитной истории клиента в кредитных бюро устраняет записи о наличии задолженности по данному микрокредиту и количестве просроченных дней по нему;
- возвращает клиенту суммы задолженности по данному микрокредиту, ранее взысканные МФО либо погашенные клиентом самостоятельно. Однако списание задолженности клиента по микрокредиту не лишает МФО права требовать с клиента возмещения задолженности по выданному ему микрокредиту, оформленному мошенническим способом при наличии вины самого клиента, установленной судом.
Проект размещен на портале "Открытые НПА" для публичного обсуждения до 6 октября 2023 года.