Mobilbank kontrollspørsmål apper

Like dokumenter
Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: Versjon: 1.0

Den mobile arbeidshverdagen

Innføring av 2-faktor autentisering ved pålogging - for kunder som benytter Evolution -

Egenevalueringsskjema

Egenevalueringsskjema

Egenevalueringsskjema

Visma Flyt Skole. «Min Skole- foresatt» App for foresatte. Vilkår for bruk av alt materiell tilknyttet Visma Flyt Skole

Politiske møtedokument

IKT-reglement for Norges musikkhøgskole

Hva vet appen om deg? Catharina Nes, seniorrådgiver i Datatilsynet

EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI

Søknadsskjema etter finansforetaksforskriften 3-2

Sikkerhet i Pindena Påmeldingssystem

Video om xid er tilgjengelig her:

BankID 2.0. Rune Synnevåg, Uni Pluss AS

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Vanlige spørsmål. GallupPanelet. TNS Panel-app. TNS Juni 2015 v.1.3

Foreløpig kontrollrapport

Visma Flyt Skole. Foreldrepålogging «Min Skole» app SFO - søknad

Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett

Mobile Device Management

Slik tar du nettbanken i bruk

PERSONVERN, GDPR OG COREPUBLISH

Compello Invoice Approval

1. Hvordan kommer jeg i gang som mcash-bruker?

Mobilsynkronisering. for Android

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Slik tar du i bruk nettbanken

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Personvern - sjekkliste for databehandleravtale

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

Sikkerhet i Pindena Påmeldingssystem

Innspill til nytt hvitvaskingsrundskriv

Visma Flyt Skole. «Min Skole» appen hva må foresatte gjøre?

Huldt & Lillevik Ansattportal Ansattportal. Versjon

To-faktor autentisering i Bane NOR

Diabetesforbundet. Personvernerklæring

Hva er digital signering og. hvordan fungerer det?

BRUKERVEILEDNING MS-MRS 2.0

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Generelle kjøpsbetingelser

i lys av 20/2011 DATO: RUNDSKRIV: Banker FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Regelverk for IoT. GDPR eprivacy

Pressebriefing 3. april 2014

Send og Motta efaktura bedrift i Nettbank bedrift

Videokonsultasjon - sjekkliste

Mobile enheter, sikkerhet og personvern. Bjørn Erik Thon direktør

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Brukerveiledning LagerMester ios

Egenevalueringsskjema

Innledende Analyse Del 1.2

Manual - foresatt. Transponder Meldingsbok og Tilstede

Kvikkguide Send og Motta efaktura bedrift i Nettbank bedrift

Foretakets navn : Dato: Underskrift :

Mobilsynkronisering. for Windows phone 8

Når du registrerer deg for å få tilgang til Tjenestene som arrangør Kontakter oss med forespørsler

Avvik samhandling. Innhold. veiledning til bedrifter som inviteres inn i et prosjekt

Enklere bank. snn.no/bruk

Buypass. Martin Otterstad Salgssjef. Citrix User Group.

Teknisk informasjon om bruk av BankID - Ansattes bruk av nettbank fra arbeidsplassen

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

Mobilsynkronisering. for ios

Har du kontroll med din databehandler? En utro elsker. Annikken Seip Seniorrådgiver IT-tilsyn

Fjernarbeidsløsningen - når du ikke bruker din vanlige Oslo kommune-pc

PERSONVERN Personopplysninger som lagres Hvilke personopplysninger behandler vi

- IVER 1. OM TJENESTEN

DATO: 15. juni NUMMER: 14/8978 m.fl. markedstilsyn

Introduksjon til Min Sky -

Løsninger på påloggingsproblemer

Digital postkasse til innbyggere

Sikkerhet i Pindena Påmeldingssystem

Argus Web-App. Håndboken på web. Enkelt og intelligent!

Huldt & Lillevik Ansattportal Ansattportal. Versjon

Slik tar du i bruk nettbanken

City Nords Personvernerklæring

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no

Send og motta efaktura i Nettbank bedrift

Difi bidrar til å digitalisere Norge. BankID - dagen 2017 Torgeir Strypet, avdelingsdirektør Difi

eye-share Mobil 2.x 3.x Brukerveiledning

F-Secure Mobile Security for S60

Denne brukerguiden beskriver hvordan man går frem for å spille simuleringen T2 - Bli Kjent på nettbrett (ipad og Android)

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

OBC FileCloud vs. Dropbox

Forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Veiledning for utfylling av KRT-1010

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Risikoanalysemetodikk

Visma Anbud og Kontrakt Releasedokumentasjon

Personvernerklæring for Foreningen Grunnloven 112

TJENESTEBESKRIVELSE INCIDENT

Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss?

BRUKERVEILEDNING. Kundeversjon Side 1 av 23

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Trådløs Bedrift Mobilapplikasjon

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Transkript:

Egenevalueringsskjema Mobilbank DATO: 31.10.2014

Evalueringsskjema Mobilbank apper Del 1 Del 2 Strategi og sikkerhetspolicy Kost-nytte og ROS-analyser Utvikling og oppdatering Avtaler Driftsrelaterte spørsmål Distribusjon og personalisering av appen Innlogging til appen og til banken Programmering og signering av appen Transportsikkerhet Infiserte og "sprengte" telefoner Logging/oppbevaring av informasjon Overvåking Oppdatering av appen 2 Finanstilsynet

Del 1 spørsmål til eier av forretningsområdet Innledning Foretaket bør ha etablert administrative rutiner som sikrer at utvikling og bruk av apper er i henhold til foretakets forretningsstrategi, at sikkerheten overvåkes og at utviklingen er gjort på bakgrunn av nødvendig dokumentasjon, som f.eks. risikovurderinger. Omfang/avgrensing ene nedenfor er isolert til risikoer som er knyttet til app-banker. Eventuelle funksjoner i nettbanken som appen (gjen)bruker, omtales ikke her. Se i tilfellet tilsynsmodulen som gjelder for nettbank. Denne delen av tilsynsmodulen for apper til bruk i mobile enheter er ment å besvares av forretningsområdet som står som eier av løsningen. Strategi og sikkerhetspolicy 1. Har foretaket etablert en sikkerhetspolicy? 2. Er det etablert en strategi for hvordan foretaket skal håndtere egen merkevare? 3. Er utvikling av apper for mobile løsninger en følge av foretakets forretningsstrategi? 4. Er det i foretaket en dokumentert strategi for hvilken funksjonalitet av tjenesten som skal ligge på kundens mobile enhet? 5. Er det en del av foretakets strategi å lagre noe av informasjonen fra kundens mobil som del av "Big Data" datafangst? 6. Er det i foretakets dokumentasjon om informasjonssikkerhet dokumentert at løsninger på mobile enheter skal ha tilsvarende sikkerhetsnivå som f.eks. løsninger for PC? Kost-nytte og ROS-analyser 7. Er det gjennomført kost-nytte analyser som belyser hensikt og forventet resultat? Finanstilsynet 3

8. Er det gjennomført risiko- og sårbarhetsanalyse som viser de risikoer som en ny eller endret app vil utgjøre for foretakets øvrige løsninger? 9. Er det gjennomført risiko- og sårbarhetsanalyse som viser de risikoer som kunder kan utsettes for ved bruk av løsningen? Utvikling og oppdatering 10. Gjennomføres utvikling og produksjonssetting av apper i samsvar med foretakets utviklingsprosess? (også der utviklingen er utkontraktert) 11. Ved oppdateringer og produksjonssetting av apper, eventuelt en sikkerhetsoppgradering, er det etablert tiltak som sikrer at kunder må oppdatere appen før den kan benyttes mot foretakets produksjonsmiljø? 12. Ved bruk av eksterne leverandører for utvikling av apper, gjennomføres det kodegjennomgang med dokumentert resultat av foretaket før apper settes i produksjon? Avtaler 13. Etableres det egne avtaler med kundene for bruken av appen? 14. Innhentes det godkjenning fra kunden for å benytte informasjon som er på kundens mobile enhet, som f.eks. GPS, adressebok osv.? 15. Har foretaket en strategi om hvordan appen skal distribueres? Driftsrelaterte spørsmål 16. Er det etablert måleparametere som viser om bruken av foretakets apper svarer til forutsetningene fra kost-nytte-vurderingen? 17. Innvirker bruken av apper på foretakets katastrofeplan? 18. Har kundesenter eller mottakere av kundehenvendelser fått opplæring i innhold og funksjonalitet av apper foretaket tilbyr sine kunder? 4 Finanstilsynet

19. Er det etablert tiltak av foretaket som overvåker risikoen relatert til informasjonssikkerhet? 20. Er det avklart i organisasjonen hvor ansvaret for eierskap, utvikling og drift av løsningen ligger? 21. Er det gjennomført penetrasjonstester med apper som inngangsport mot foretakets produksjonssystemer? Finanstilsynet 5

Del 2 spørsmål til ansvarlige for utvikling og drift Innledning De forskjellige bankenes apper er mer eller mindre funksjonsrike. Enkelte er tynne klienter mot nettbanken, der det ikke skjer lagring lokalt i mobilen. Andre apper har omfattende prosessering og lagring. Spørreskjemaet er ikke uttømmende når det gjelder omfang og detaljeringsgrad for området. Omfang/avgrensing ene nedenfor er isolert til risikoer som er knyttet til bank-apper. Eventuelle funksjoner i nettbanken som appen (gjen)bruker, omtales ikke her. Se i tilfellet tilsynsmodulen som gjelder for nettbank. "Liten risikoanalyse" Finanstilsynet anser risikoen knyttet til bank-apper som moderat til liten. Enkeltkunder kan bli rammet. Sårbarheter som blir avdekket, forventes å kunne bli utbedret før stor skade er skjedd. Denne delen av tilsynsmodulen for apper til bruk i mobile enheter er ment å besvares av de ansvarlige for utvikling og drift av løsningen. Distribusjon og personalisering av appen 1. Hvordan distribueres appen ut til kundene? A) Innlogget i nettbanken B) I nettbanken ikke innlogget C) Google Apps / Android Market D) Annet 2. Blir kundene informert om hva som er godkjente nedlastingsplasser? 3. Knyttes en app-instans til en bestemt mobil? Hvordan skjer evt. dette? 4. Er det mulig for banken å slette appen til en bestemt kunde? 6 Finanstilsynet

Innlogging til appen og til banken 5. Kreves det passord for å åpne appen? 6. Kreves det to-faktor-autentisering med engangskode for pålogging til banken? 7. Lages engangskoden av mobilen? Hvis ja, blir kunden oppfordret til å sperre banken hvis mobilen er på avveie (på samme måte som kunden skal sperre banken hvis "brikken" er på avveie?) Hvis nei, hvordan har banken tenkt? 8. Lagres passord eller PIN i appen? Hvis ja, kommenter. Er det krypteringsfunksjon i appen? Programmering og signering av appen 9. Ligger Apple Secure Coding Guides 1, Android Developers Guide 2 Section Security and Permission, eller tilsvarende, til grunn for utviklingen? 10. Er OWASP Top 10 Mobile Risk 3 hensyntatt ved utviklingen av appen? 11. Er appen digitalt signert av banken? 12. Hvis ja på spm. 11, har banken lagt til rette for at kunden skal kontrollere bankens signatur? Hvordan? Transportsikkerhet 13. Er all nettverkskommunikasjon kryptert, typisk ved bruk av SSL/TLS? 14. Gjelder dette også for linker som kunden kan benytte inne i appen? 15. Hvis ja på spm. 13, har banken lagt til rette for at kunden skal kontrollere serversertifikatet? 1 https://developer.apple.com/library/ios/documentation/security/conceptual/securecodingguide/securecodingg uide.pdf 2 https://developer.android.com/guide/index.html 3 https://www.owasp.org/index.php/owasp_mobile_security_project#tab=top_10_mobile_risks Finanstilsynet 7

Hvordan er dette lagt til rette? 16. Er det kryptering på applikasjonsnivå? Kommentér (Hva sier foretakets risikoanalyse på dette punkt?) 17. Hvis nei på spm. 16, hvordan oppnås ende-til-ende sikkerhet? Infiserte og "sprengte" telefoner 18. erer appen hver gang om mobilen er infisert eller på annen måte utrygg før den gir kunden tilgang til banken? 19. Tillates det at applikasjonen kjører på "rootede/jailbreakede" enheter? Hvis nei, hvordan hindres dette? 20. Benyttes all sikkerhet som Sandbox kan gi? Kommenter? Logging/oppbevaring av informasjon 21. Lagrer appen sensitiv informasjon i logger utenfor Sandbox 4. (Da er det en risiko for at de leses av fremmede apper) 22. Lagres personlig/sensitiv informasjon lokalt i applikasjonen? Hvis ja, kommentér. Blir dataene kryptert? 23. Hvis ja på spm. 16, hva er motivet for lagringen? Er det for eksempel kontekstinformasjon som lagres i sikkerhetsøyemed, som lokasjonsdata, antall feilede forsøk på å åpne appen, forsøk på å endre appen e.l.? 24. Dersom appen behandler persondata, er det (kfr. POL 5 ) klargjort: hvem som er ansvarlig for appen? hensikten med behandlingen? hvilke data som behandles? om data videresendes og evt. til hvem? om data videreselges og evt. til hvem? hvordan data slettes? 4 http://fixmo.com/blog/2012/05/11/mobile-device-sandboxing-101 5 Personopplysningsloven 8 Finanstilsynet

hvilke sikkerhetselementer som inngår? hvilke rettigheter kunden har og hvordan disse skal utøves? hvilken jurisdiksjon som gjelder for behandlingen? 25. Blir informasjonen i 24 presentert for kunden før nedlasting? Overvåking 26. Lager banken en kundeprofil basert på kontekstinformasjon (bruksmønster: # innlogginger pr. uke/mnd., transaksjoner, varighet, lokasjon) som gjør at banken kjenner igjen den rette kunden, og kan eventuelt avsløre angripere og stenge disse ute før misbruk finner sted? 27. Benytter banken tredjeparts overvåking eller tilsvarende, eks. Threatmetrix 6? Oppdatering av appen 28. Applikasjoner kan ha sikkerhetshull som kan utgjøre risiko for tjenesten. Derfor er det viktig å få oppdatert klienten. Hvordan verifiseres det at kundene bruker siste versjon av applikasjonen? 6 http://www.threatmetrix.com/ Finanstilsynet 9

10 Finanstilsynet

FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo POST@FINANSTILSYNET.NO WWW.FINANSTILSYNET.NO

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding