Seminar retningslinjer for sikkerhet for internettbetalinger. Seksjon for tilsyn med IT og betalingstjenester

Transkript

1 Seminar retningslinjer for sikkerhet for internettbetalinger Olav Johannessen Atle Dingsør Seksjonssjef Tilsynsrådgiver Seksjon for tilsyn med IT og betalingstjenester

2 Agenda Registrering Noen praktisk opplysninger Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

3 Historikk SecuRe Pay (European Forum for sikkerheten Retail Payments) ble etablert som et frivillig samarbeids initiativ i regi av ECB (den europeiske sentralbanken) Omfatter relevante myndigheter fra det europeiske økonomiske samarbeidsområdet (EØS). Hensikten var å legge til rette for forståelse av problemstillinger knyttet til sikkerheten for elektroniske betalingstjenester i detaljhandelen. SecuRe Pay utarbeidet retningslinjene for sikkerhet for internettbetalinger i Etterlevelsen var basert på frivillighet og det ble etter hvert erkjent et behov for et sterkere legalt trykk. ECB og EBA enige om at dette kunne gjøres ved at retningslinjene ble utferdiget fra EBA august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

4 Bakgrunn retningslinjer for sikkerhet for internettbetalinger Bekymring for svindel-økningen knyttet til internettbetalinger, særlig for CNP (card-not-present). Behov for mer trygge rammer for nettbetaling i hele EU/EØS. Behov for å etablere et minimums sikkerhetskrav som Payment Services Providers (PSP) i EU/EØS forventes å gjennomføre. Retningslinjene for sikkerhet for internettbetalinger er basert på anbefalingene fra SecuRe Pay med noen modifikasjoner. Retningslinjer for sikkerhet for internettbetalinger gir det rettslige grunnlaget for å oppnå like konkurransevilkår for alle PSPer i hele EU/EØS og gir støtte til utvikling av e-handel samtidig som man sikrer tilstrekkelig beskyttelse av forbrukere august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

5 Tap CNP Tabell 1: Tap ved bruk av betalingskort (tall i hele tusen kroner) Svindeltype betalingskort Misbruk av kortinformasjon, Card-Not-Present (CNP) (internetthandel m.m.) TOTALT Finanstilsynets ROS 2014 Kilde, ECBs 4 rapport om tap på kort av august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

6 Det regulatoriske landskapet Betalingssystemloven 3-3 Forskrift om systemer for betalingstjenester (Under høring) Retningslinjer for sikkerhet ved Internett- betalinger august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

7 Betalingssystemloven Kapittel 3. Systemer for betalingstjenester 3-1. Formål Formålet med bestemmelsene i dette kapittel er å bidra til at systemer for betalingstjenester innrettes og drives slik at hensynet til sikker og effektiv betaling og til rasjonell og samordnet utførelse av betalingstjenester ivaretas Meldeplikt Det skal uten unødig opphold gis melding til Finanstilsynet om etablering og drift av system for betalingstjenester. Meldingen skal inneholde opplysninger om: a) avtalene mellom deltakende institusjoner om overføring eller uttak av betalingsmidler, b) avtalene om tilknytning av brukersteder, c) avtalene mellom systemer for betalingstjenester, d) bruk av betalingskort, tallkoder eller annen form for selvstendig brukerlegitimasjon som skal benyttes ved betaling Alminnelige systemkrav Systemer for betalingstjenester skal innrettes og drives i samsvar med formålet i 3-1. Finanstilsynet kan gi nærmere regler om standardisering av avtaler, vilkår, tekniske forhold m.v. for systemer for betalingstjenester. Finner Finanstilsynet at et system ikke innrettes eller drives i samsvar med bestemmelser fastsatt i eller i medhold av lov, kan Finanstilsynet gi den institusjonen som driver systemet de pålegg som er nødvendige for å rette på forholdet august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

8 Forskrift om systemer for betalingstjenester Nærmere om forslag til system- og sikkerhetskrav Det foreslås at foretak som tilbyr elektroniske betalingstjenester, skal gjennomføre løpende risiko- og sårbarhetsanalyser enkelte minimumskrav til sikkerhet, herunder påloggingsmekanismer, krav til kryptering og betryggende utlevering av identitetskjennetegn Bestemmelsene antas å være særlig nyttig ved etablering av nye løsninger utenfor de tradisjonelle samarbeidsløsningene. Kravene samsvarer med prinsippene som ligger til grunn for den omforente europeiske standarden (SecuRe Pay). Basert på SecuRe Pay, har EBA fastsatt retningslinjer for sikkerhet for internett-betalinger, gjeldende fra 1. august Kun institusjoner med konsesjon til å drive betalingstjenester kan drive systemer for betalingstjenester. Forskriftsforslaget retter seg derfor til banker og andre kredittinstitusjoner, betalingsforetak, og e- pengeforetak mv. Dette kan være foretak med norsk konsesjon, eller foretak som driver virksomhet her i riket basert på tilsvarende tillatelse i annen EØS-stat i samsvar med EU-retten. Finanstilsynet legger til grunn at kravene som foreslås her vil omfatte de nevnte norske foretak samt foretak som driver virksomhet i Norge som filial i samsvar med "general good- læren" august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

9 Forskrift om systemer for betalingstjenester hjemmel i betalingssystemloven Virkeområde Forskriften gjelder for banker, kredittinstitusjoner, e-pengeforetak, betalingsforetak og filialer av slike foretak med hovedsete i annen stat som omfattes av Det europeiske økonomiske samarbeidsområde (EØS). 2 Risikovurdering og etterlevelse av regelverk Foretak som tilbyr elektroniske betalingstjenester skal løpende gjennomføre risiko- og sårbarhetsanalyser for å sikre tilstrekkelig sikkerhetsnivå. Risiko- og sårbarhetsanalyser skal gjennomføres som en del av beslutningsgrunnlaget før en ny betalingstjeneste lanseres og ved hendelser eller endringer av betydning for sikkerhetsnivået. Foretaket skal etablere system for å sikre etterlevelse av gjeldende regelverk, bransjens selvregulering og interne rutiner august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

10 Forskrift om systemer for betalingstjenester hjemmel i betalingssystemloven Sikkerhetskrav Foretaket som tilbyr elektroniske betalingstjenester skal etablere tiltak for å sikre nødvendig konfidensialitet, integritet og tilgjengelighet for tjenestene. Gjeldende nasjonale standarder og internasjonalt anerkjente standarder skal følges. Foretaket skal beskytte tjenesten i sin helhet (ende til ende) ved hjelp av logiske og fysiske sikringstiltak. Kommunikasjon over åpne nett, herunder internett og telenett, skal være kryptert. Foretakets risiko- og sårbarhetsvurdering skal legges til grunn for å avklare behov for tiltak. For autentisering av kunden skal foretaket ha en sikker påloggingsmekanisme. Foretaket skal sikre at utlevering av identitetskjennetegn skjer på betryggende måte. Videre skal foretaket sikre at kunden på en hensiktsmessig måte kan beskytte sine identitetskjennetegn, og foretaket skal etablere løsninger som gjør at kunden kan sperre videre bruk av identitetskjennetegnene. Foretaket skal overvåke og måle datatrafikk for betalingstjenester for å kunne avdekke og hindre uautorisert bruk av tjenesten august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

11 Retningslinjer for sikkerhet ved Internettbetalinger Regulatorisk er retningslinjene utarbeidet med bakgrunn i det eksisterende betalingstjenestedirektivet i EU og som er innarbeidet i norsk rett i bl.a. Finansavtaleloven. Retningslinjene fra det europeiske banktilsynet (EBA) er adressert til finansinstitusjoner/psper så vel som til nasjonale myndigheter, som begge skal gjøre sitt ytterste for å etterleve dem. Norge har sagt de vil «comply» med retningslinjene, hvilket betyr at vi vil håndheve retningslinjene i vår nasjonale jurisdiksjon. Det betyr at Finanstilsynet vil innlemme retningslinjene inn i sin tilsynspraksis og som en del av tilsynsrammeverket på betalingstjenester gjennom tilsyn og overvåkning sikre at retningslinjene anvendes på en ensartet måte gjennom sin overvåkning og tilsynspraksis følge opp at betalingsintegratorer, enten de betraktes som innløsere eller tilbydere av tekniske tjenester, også følger retningslinjene gjennom sin overvåkning og tilsynspraksis følge opp at brukerstedene også følger retningslinjene august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

12 Retningslinjer for sikkerhet for Internettbetalinger - fremover PSD2, enighet om tekst mai Forventes signert ila høsten EØS-relevant gjennom EØS-implementering Implementeres i norsk rett EBA (Europeiske Banktilsynet) tillagt en rekke oppgaver, herunder Utarbeide regulatoriske tekniske standarder for sikkerhet, bla sterk kunde autentisering og felles åpne standarder for sikker kommunikasjon. Dette vil resultere i endringer i det juridiske landskapet august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

13 Kapittel 1 Omfang og definisjoner Omfang Definisjoner Kapittel 2 Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden. 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

14 Målsetting med gjennomgangen «Målsettingen for gjennomgangen er å gi deltakerne en felles forståelse av retningslinjene og krav til tilpasninger i løsningene som de tilbyr, samt innsyn i hvordan tilsynet vil følge opp etterlevelse». Vurderingskriterier: netpayments201402en.pdf «Vurderingskriteriene skal bidra til felles fortolkning av retningslinjene». «Level playing field» august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

15 Registrering Bakgrunn for innføring av retningslinjene Gjennomgang av retningslinjene Lunsj Plan for etterlevelse og oppfølging av retningslinjene Finanstilsynets oppfølging av retningslinjene Ofte stilte spørsmål 1. Bidra i kampen mot svindel 2. Øke tilliten til internettbetalinger 3. «Level playing field» 4. Generiske «future proof» 5. Forutsigbarhet «future proof» 6. Oppdateres i takt med trusselbildet 7. Løsningsnøytral 8. Uavhengig av brukerterminal 9. Minimumskrav ikke ønske om detaljstyring august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

16 Målsetting med retningslinjene: 1. Bidra i kampen mot svindel 2. Øke tilliten til internettbetalinger 3. «Level playing field» 4. Generiske «future proof» 5. Forutsigbarhet «future proof» 6. Oppdateres i takt med trusselbildet 7. Løsningsnøytral 8. Uavhengig av brukerterminal 9. Minimumskrav ikke ønske om detaljstyring See, for example, the third card fraud report of the ECB, which underlines that with 794 million in fraud losses in 2012, card-not-present fraud was not only the largest category in absolute value, but also the one with the highest growth (up 21.2% from 2011) ( august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

17 Målsetting med retningslinjene: 1. Bidra i kampen mot svindel 2. Øke tilliten til internettbetalinger 3. «Level playing field» 4. Generiske «future proof» 5. Forutsigbarhet «future proof» 6. Oppdateres i takt med trusselbildet 7. Løsningsnøytral 8. Uavhengig av brukerterminal 9. Minimumskrav ikke ønske om detaljstyring august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

18 Målsetting med retningslinjene: 1. Bidra i kampen mot svindel 2. Øke tilliten til internettbetalinger 3. «Level playing field» 4. Generiske «future proof» 5. Forutsigbarhet «future proof» 6. Oppdateres i takt med trusselbildet 7. Løsningsnøytral 8. Uavhengig av brukerterminal 9. Minimumskrav ikke ønske om detaljstyring Retningslinjene utgjør minimum forventninger. Uavhengig av disse har PSP-ene ansvar for å overvåke og vurdere risikoene knyttet til betalingstjenestene, utvikle sine egne detaljerte sikkerhetspolicyer og implementere tilstrekkelig sikkerhet, beredskapsløsning, hendelseshåndtering og reserveløsninger som er tilpasset risikoene august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

19 Kapittel 1 Omfang og definisjoner Omfang Definisjoner Kapittel 2 Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet Ledelse Risikovurdering Hendelsesovervåking og rapportering. Risikokontroll og risikoreduksjon Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. Innledende kundeidentifisering, informasjon Sterk kundeautentisering. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering Transaksjonsovervåking Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon Kundeopplæring og kommunikasjon Meldinger, grenser Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Omfang (Hvem): Alle PSP-er som tilbyr betalingstjenester på internett, slik det er definert i PSD Ansvarlige for betalingsordninger (kort, kredit overføringer, direkte debitering etc.) august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

20 Omfang (Hvem): Alle PSP-er som tilbyr betalingstjenester på internett, slik det er definert i PSD Ansvarlige for betalingsordninger (kort, kredit overføringer, direkte debitering etc). 1. This Directive lays down the rules in accordance with which Member States shall distinguish the following six categories of payment service provider: (a) credit institutions within the meaning of Article 4(1)(a) of Directive 2006/48/EC; (b) electronic money institutions within the meaning of Article 1(3)(a) of Directive 2000/46/EC; (c) post office giro institutions which are entitled under national law to provide payment services; (d) payment institutions within the meaning of this Directive; (e) the European Central Bank and national central banks when not acting in their capacity as monetary authority or other public authorities; (f) Member States or their regional or local authorities when not acting in their capacity as public authorities august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

21 Omfang (Hvem): Alle PSP-er som tilbyr betalingstjenester på internett, slik det er definert i PSD Ansvarlige for betalingsordninger (kort, kredit overføringer, direkte debitering etc). Ansvarlige for betalingsordninger (kort, kredit overføringer, direkte debitering etc). (Eng.): «governance authorities of payment schemes" august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

22 Kapittel 1 Omfang og definisjoner Omfang Definisjoner Kapittel 2 Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet Ledelse Risikovurdering Hendelsesovervåking og rapportering. Risikokontroll og risikoreduksjon Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. Innledende kundeidentifisering, informasjon Sterk kundeautentisering. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering Transaksjonsovervåking Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon Kundeopplæring og kommunikasjon Meldinger, grenser Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Omfang (Hva) Hensikten med retningslinjene er å definere felles minimumskrav for internettbetalingene som er listet nedenfor, uansett hvilket utstyr som benyttes for tilgang til tjenesten: 1. [kort] utførelse av kortbetalinger på internett, inkludert betalinger med virtuelle kort og registrering av kortbetalingsdata for bruk i "lommebok-løsninger". 2. [kreditt-overføringer] gjennomføring av kredittoverføringer (CT-er) på internett 3. [elektroniske betalingsoppdrag] registrere og endre elektroniske oppdrag for direkte debitering 4. [e-penger] overføring av elektroniske penger mellom to e-penge kontoer via internett august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

23 Kapittel 1 Omfang og definisjoner Omfang Definisjoner Kapittel 2 Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet Ledelse Risikovurdering Hendelsesovervåking og rapportering. Risikokontroll og risikoreduksjon Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. Innledende kundeidentifisering, informasjon Sterk kundeautentisering. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering Transaksjonsovervåking Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon Kundeopplæring og kommunikasjon Meldinger, grenser Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Unntatt fra retningslinjene er: Andre internett tjenester som tilbys av en PSP via betalingsnettsiden (eks. elektronisk megling, online kontraktsinngåelse) Betalinger der instruksjonene gis via post, telefon, stemme post, eller SMS-basert teknologi Mobile betalinger som ikke er basert på nettleser Kredittoverføringer der en tredjepart aksesserer kundens betalingskonto Betalingstransaksjoner utført av et foretak via dedikerte nettverk Kortbetalinger ved bruk av anonyme eller ikke ladbare fysiske eller virtuelle forhåndsbetalte kort der det ikke er noe fast kundeforhold mellom usteder og kortholder Avregning og oppgjør av betalingstransaksjoner august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

24 Kapittel 1 Omfang og definisjoner Omfang Definisjoner Kapittel 2 Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet Ledelse Risikovurdering Hendelsesovervåking og rapportering. Risikokontroll og risikoreduksjon Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. Innledende kundeidentifisering, informasjon Sterk kundeautentisering. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering Transaksjonsovervåking Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon Kundeopplæring og kommunikasjon Meldinger, grenser Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Virtuelt kort er en kortbasert betalingsløsning der et alternativt, midlertidig kortnummer med en redusert gyldighetsperiode, begrenset bruk og forhåndsdefinert beløpsgrense blir generert og som kan brukes til internett kjøp. Lommebok-løsning er en løsning som tillater kunden å registrere data knyttet til en eller flere betalingsinstrumenter for å kunne betale hos flere brukersteder august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

25 Kapittel 1 Omfang og definisjoner Omfang Definisjoner Kapittel 2 Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Sikkerhets-policy for internettbetalinger Dokumentert Sikkerhetsmål og risikoapetitt Roller og ansvar Direkte rapportering til styre august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

26 Kapittel 1 Omfang og definisjoner Omfang Definisjoner Kapittel 2 Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Formål og organisering av informasjonssikkerhet Prinsipper for sikker bruk og administrasjon av informasjon og IT-ressurser Roller og ansvar, tiltak og prosesser Personellsikkerhet Logisk/fysisk sikkerhet Sikkerhetstiltak for utkontrakterte tjenester Dokumentert og gjort kjent For GA s policy som gjelder for alle scheme medlemmer har GA bestemmelser eller avtalefestet a) at alle scheme medlemmene skal etterleve GAs policy b) at GA kan kontrollere og pålegge utbedringer august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

27 Kapittel 1 Omfang og definisjoner Omfang Definisjoner Kapittel 2 Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Minst en gang hvert år, etter alvorlige hendelser og nye trusler, ved store endringer i infrastruktur eller drift i. Tekniske løsninger ii. Tjenester som er utkontraktert til eksterne leverandører iii. Kundens tekniske miljø Overvåking av sikkerhetstrusler august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

28 Kapittel 1 Omfang og definisjoner Omfang Definisjoner Kapittel 2 Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Prosess for å overvåke, håndtere og følge opp sikkerhetshendelser og sikkerhetsrelaterte kundeklager og rapportere slike hendelser til ledelsen PSP skal informere ansvarlige i betalingsordningen Overvåke, ta i mot, følge opp sikkerhetsrelaterte kundeklager Brukersteder avtaleforpliktet til å samarbeide ved hendelser august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

29 Kapittel 1 Omfang og definisjoner Omfang Definisjoner Kapittel 2 Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Tiltak i tråd med politikken Flere lag hvis et lag svikter, fanges feilen av neste lag Arbeidsdeling Tilgang: etter behov, fra gang til gang, så avgrenset som mulig Herde servere Applikasjonstilganger EV-sertifikater Teste at tiltakene virker Utkontraktering Brukersteder august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

30 Tiltak i tråd med politikken Flere lag hvis et lag svikter, fanges feilen av neste lag Arbeidsdeling Tilgang: etter behov, fra gang til gang, minst mulig Herde servere Applikasjonstilganger EV-sertifikater Industri standarder for herding: (eks. CICS, ISP, SANS, NIST, etc.) Endre standard ID og PW (eks. administrator) før installering Tillate kun nødvendige porter, protokoller, tjenester Fjerne all unødvendig funksjonalitet, som scripts, drivere, funksjoner, subsystemer og filsystemer og unødvendige server applikasjoner august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

31 Kapittel 1 Omfang og definisjoner Omfang Definisjoner Kapittel 2 Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Krav om sporing av transaksjoner og elektroniske oppdrag Transaksjonsnummer, tids-stempler, parameterendringer, tilgang til transaksjoner og elektroniske oppdrag Logg-filer som sporer endringer, slettinger, tillegg til transaksjoner eller elektroniske oppdrag Spørring og analyse av transaksjoner, elektroniske oppdrag og loggene august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

32 Kapittel 1 Omfang og definisjoner Omfang Definisjoner Kapittel 2 Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. «Kjenn din kunde»: Hvis det ser ut som en gås, går som gås og kvekker som en gås. Ja da er det vel en gås da. 3. parts bekreftelse folkeregister, telefon/strøm, betaling av lite beløp Kunden skal identifiseres i tråd med anti-hvitvaskings reglene Kunden skal bekrefte at hun ønsker å benytte tjenestene før det gis tilgang Kunden skal informeres om krav til utstyr og prosedyrer som skal følges og risikoen Ja, det ser ut som en gås, går som gås og kvekker som en gås. Ja da er det vel en gås da august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger

33 Kapittel 1 Omfang og definisjoner Omfang Definisjoner Kapittel 2 Retningslinjer for sikkerhet i internettbetalinger Overordnet kontroll og sikkerhet 1. Ledelse 2. Risikovurdering 3. Hendelsesovervåking og rapportering. 4. Risikokontroll og risikoreduksjon 5. Sporbarhet Spesifikke kontroller og sikkerhetstiltak for internett betalinger. 6. Innledende kundeidentifisering, informasjon 7. Sterk kundeautentisering. 8. Registrering og utstedelse av autentiseringsmekanismer og/eller programvare som leveres til kunden 9. Antall innloggingsforsøk, sesjonsvarighet, gyldighet av autentisering 10. Transaksjonsovervåking 11. Beskyttelse av sensitive betalingsdata Kundeadferd, kundeopplæring og kommunikasjon 12. Kundeopplæring og kommunikasjon 13. Meldinger, grenser 14. Kundens adgang til informasjon om status på igangsetting av betaling og utføring av den. Gjelder for: 1. tilgang til og/eller endring av sensitive betalingsdata 2. betalinger august 2015 Seminar retningslinjer for sikkerhet for internettbetalinger