От пяти банков Казахстана потребовали улучшить безопасность мобильных приложений

24.06.2024
Фото stevepb / pixabay

Предписания от АРРФР получили пять игроков: Нурбанк, ВТБ, Halyk Bank, Bank RBK и государственный Bereke Bank. Рассказываем, какие недостатки выявил регулятор.

Что произошло

Агентство по регулированию и развитию финансового рынка (АРРФР) выписало предписания пяти казахстанским банкам за "несоответствие функционала мобильного приложения требованиям по информационной безопасности".

Такие письма получили пять игроков: Нурбанк, ВТБ, Halyk Bank, Bank RBK и государственный Bereke Bank.

Судя по нарушениям, мобильные приложения банков в основном имеют недочёты с информированием клиентов, отсутствием блокировки в случае обнаружения удалённого управления и передачей геолокации смартфона клиента на серверы БВУ при проведении банковской операции.

На что обратило внимание агентство

Регулятор выявил, что мобильное приложение Нурбанка не соответствует двум подпунктам пункта 160 постановления Нацбанка. Речь идёт о требованиях:

  • блокировки функционала приложения в случае обнаружения признаков нарушения целостности или обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;
  • передачи геолокации смартфона клиента в ходе проведения операции на серверы банка при наличии разрешения от клиента либо передачи информации об отсутствии такого разрешения.

Аналогичные недочёты были выявлены и в мобильном приложении RBK Bank.

Приложение ВТБ банка также не соответствовало этим правилам, но были и другие недочёты. В частности, это касается биометрической идентификации клиента при первичной регистрации в приложении и смены пароля. Эти процессы должны проходить посредством Центра обмена идентификационными данными (ЦОИД) или с использованием биометрических данных, полученных посредством устройств банка. Также регулятор указал на отсутствие уведомления клиентов о наличии обновлений мобильного приложения. 

В приложении Halyk АРРФР обратило внимание на необходимость информирования клиента об авторизации под его учётной записью, изменении/восстановлении пароля и изменении номера мобильного телефона, зарегистрированного банком.

Мобильное приложение Bereke Bank не отвечает требованию, где речь идёт об изменении пароля к мобильному приложению с применением биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД или полученных посредством устройств банка.

Приложение Bereke Bank также не соответствует трём подпунктам пункта 160 постановления Нацбанка: 

  • уведомление клиента о наличии обновлений мобильного приложения;
  • возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки;
  • информирование клиента об авторизации под его учётной записью, изменении или восстановлении пароля, изменении номера мобильного приложения, зарегистрированного банком.

---

Читайте также:

Open API запустят в Казахстане 1 июля. Казахстанцы смогут управлять счетом Kaspi через приложение Halyk Bank

Приложение Kaspi.kz прекратит работать на некоторых моделях смартфонов

---