i lys av 20/2011 DATO: RUNDSKRIV: Banker FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo



Like dokumenter
Utfordringer innen IKTområdet PwC 20. september 2011

Pressebriefing 12. april Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Pressebriefing 11. april 2013

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: Versjon: 1.0

Søknadsskjema etter finansforetaksforskriften 3-2

Forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Felles varslingskrav for aktørene i NICS. (Norwegian Interbank Clearing System)

Finanstilsynets risiko- og sårbarhetsanalyse 2010

Regler om beregning av pris for tilgang til bankenes fellessystemer innen betalingsformidlingen

Egenevalueringsskjema

Regler for avregning og oppgjør av transaksjoner som inngår i Norwegian Interbank Clearing System (NICS)

Revisjon av IKT-området i en mindre bank

FINANSIELL INFRASTRUKTUR MAI ANNA GRINAKER

Rune Hagen, BSK. CORAS risikoanalyse Utført for BankID Samarbeidet

Vedtekter for Bankenes Standardiseringskontor

Seminar 23. mai Risiko- og sårbarhetsanalyse (ROS) 2012 Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Beredskapsutvalget. for finansiell infrastruktur (BFI)

Seminar om bank og finans, i regi av Bergens næringsråd, First Tuesday og Deloitte

Rundskriv Retningslinjer for behandling av klager hos forsikringsformidlere

DATO: 15. juni NUMMER: 14/8978 m.fl. markedstilsyn

Bankenes fakturaformidling i lys av nye krav

Egenevalueringsskjema

Risikostyring og internkontroll

Deres ref. Vår ref. Dato 15/ /

Risiko- og sårbarhetsanalyse. (ROS) 2003 knyttet til. finansforetakenes bruk av. Informasjons- og. Kommunikasjonsteknologi (IKT)

Regler om BankAxept-infrastruktur

Krav til retningslinjer og rutiner for posisjoner i handelsporteføljen for kapitaldekningsformål

Nedskriving av utlån hvilke endringer forventes? Erfaringer fra tilsyn regnskaps- og revisjonsområdet. Direktør Anne Merethe Bellamy

Høring forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Regler om straksoverføringer Fastsatt av Bransjestyre betalingsformidling og infrastruktur i FNO Servicekontor

Felles varslingskrav for aktørene i NICS (Norwegian Interbank Clearing System) 2018

Seminar om betalingssystemer og IKT i finanssektoren,

Reglene gjelder mellom ovennevnte banker og kan ikke påberopes av bankenes kunder eller andre.

Noen høyaktuelle temaer knyttet til betalingsformidling. Jan Digranes, direktør prosessområde bank, Finans Norge

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Retningslinjer for inkassators adgang til å inngå avtaler om tilleggsytelser i forbindelse med inkassooppdrag pay back

Retningslinjer for inkassators adgang til å inngå avtaler om tilleggsytelser i forbindelse med inkassooppdrag pay back

Merknader - endelig rapport

Mobilbank kontrollspørsmål apper

Systemer for betalingstjenester Utfordringer innen Styring og Kontroll, Operationell Risiko og Organisatorisk Kompleksitet

Pressebriefing 3. april 2014

Regler om bankenes felles konto- og adresseringsregister

Regler for avregning og oppgjør av transaksjoner som inngår i Norwegian Interbank Clearing System (NICS)

Policy for Antihvitvask

Høringsuttalelse - vurdering av tiltak i markedet for internasjonale betalingskort i Norge

Retningslinjer for forsikringsselskapenes interne klagebehandling

Foretakets navn : Dato: Underskrift :

Regler om bankenes felles konto- og adresseringsregister

Kapittel 1. Innledende bestemmelser

Beredskapsutvalget. for finansiell infrastruktur (BFI)

KLPs utfordringer ifm internkontroll og hvordan disse er håndtert Runar Dybvik, leder for internrevisjonen i KLP

Avtale om kontroll av krediteringstransaksjoner og distribusjon av informasjon som grunnlag for slik kontroll

VEDLEGG 2 UTBETALINGER

Søknadsskjema - betalingsforetak med begrenset tillatelse til å yte betalingstjenester i Norge

Verdipapirforetak, forvaltningsselskaper og AIF-forvaltere: ICAAP samlet kapitalbehov

Regler om straksbetalinger

Regler om innenlandske kreditoverføringer mellom banker

ANBUDSINNBYDELSE. Konkurransegrunnlag. Kjøp av elektrisk kraft for Norges Bank

Finansdepartementet Postboks Dep OSLO Dato: Vår ref.: Deres ref.:

MieleLogic. - Internett. - Oppvaluering - Kontant

Regler for beregning og publisering av norske pengemarkedsrenter Nibor

God internkontroll i en mindre bank, er det mulig? Problemstillinger og mulige løsninger

(BFI) Årsrapport 2005

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

Tekniske standarder for gjennomføring av Solvens II

Arkivplan og internkontroll Merarbeid eller samarbeid?

Overføring av den operative prospektkontrollen fra Oslo Børs til Finanstilsynet

Revisjon av foretak med klientmidler

Skjema for egen evaluering

Om utfylling av maler for avrop på rammeavtaler om betalingsformidlings- og kontoholdstjenester for staten

Finansdepartementet Postboks Dep OSLO Dato: Vår ref.: Deres ref.:

Når kunden betaler med kort

BSK STANDARD FOR OMNUMMERERINGSREGISTERET

Regler om utstedelse og behandling av BankAxept-kort i kontantautomater og i betalingsterminaler på brukersteder

Versjon NTNU beredskap. Politikk for beredskap ved NTNU UTKAST

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

Seminar 3. mai Identifiserte risikoområder Tilsynsrådgiver Stig Ulstein

Betydningen av en effektiv betalingsinfrastruktur

Retningslinjer for stresstesting og retningslinjer for konsentrasjonsrisiko

Krav til etterutdanning for eiendomsmeglere

Fintech muligheter og utfordringer for hvitvaskingsarbeidet

Posten ønsker å godta signaturstempel som underskrift ved utlevering av PUM-sendinger for de som ikke kan skrive

Vår ref: Deres ref: Saksbehandler: Dato: 2012/ / / /HVE Sverre Uhlving

Information Logistics & Services. Ett trykk og du er hekta!! Omfattende handelsprosess eller lettbeint shopping? Åse Marit H. Jørgensen, Produktsjef

Risiko og sårbarhet knyttet til internkontroll. Charlotte Stokstad seniorrådgiver i Statens helsetilsyn 11. februar 2014

Årsrapport om betalingssystem Knut Sandal, direktør i enhet for finansiell infrastruktur Seminar 23. mai 2013

Tilleggsvilkår for registrering av kort i Google Pay applikasjon

Alminnelig regelverk om interbanktransaksjoner ved innenlands betalingsformidling

Erfaringer fra tilsynspraksis. Geir Holen Seksjonssjef Seksjon for verdipapirtilsyn Verdipapirseminaret 1/2013

Krisehåndtering i ettersmellet

Aktuelt fra Kredittilsynet. v/anne Merethe Bellamy 18. september 2007

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Oppfølging av eigedomsmeklarfullmektigar

Nr. Vår ref Dato I - 2/ /

Svar på NEAS uttalelse til revisjonsrapport.

NORGES BANKS SYN PÅ BETALINGSSYSTEMET KNUT SANDAL, NORGES BANK BETALINGSFORMIDLINGSKONFERANSEN 17. NOVEMBER 2015

Standardisering og fellesskap blant konkurrenter

HOVEDINSTRUKS TIL FINANSTILSYNET OM ØKONOMISTYRING I FINANSTILSYNET Fastsatt av Finansdepartementet 19. november 2014

Transkript:

Rundskriv Økte krav til bankene i lys av driftsproblemene i påsken 2011 RUNDSKRIV: 20/2011 DATO: 15.06.2011 RUNDSKRIVET GJELDER FOR: Banker FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo

1 Innledning Finanstilsynet har vurdert hendelsene i påsken 2011 som rammet bankenes betalingstjenester på kortområdet med påfølgende alvorlige konsekvenser for bankenes kunder. Basert på rapporter fra bankene og deres leverandører har Finanstilsynet fått oversikt over feilårsak, følgefeil og konsekvenser av hendelsene. 140 000 kunder ble på ulike måter rammet av driftsproblemene, enten ved bruk av kort i bankenes minibanker eller på bankenes EFT/POSløsninger på brukersteder. I perioden fra onsdag 20. april 2011 og frem til alle rettelser var foretatt onsdag 27. april, ble over 200 000 transaksjoner avvist og 240 000 reservasjoner måtte slettes. I tillegg til en beskrivelse av hendelsene, gir rundskrivet informasjon om hvilke tiltak Finanstilsynet anser nødvendige som ledd i å hindre at slike situasjoner skal gjenta seg. 2 Nærmere om hendelsene i påsken 2011 Hovedårsaken til hendelsene beror på en gjennomført endring hos EDB ErgoGroup ASA (EDB) høsten 2010. En beredskapstest avdekket behov for oppgradering av en sentral komponent (IssuerGatewayServer) i kortsystemløsningen. Løsningen var satt opp som et redundant system med en primær- og en sekundærserver. Ved gjennomføring av endringen ble kun primærserveren oppgradert grunnet manglende tilgang til oppgraderingsutstyr for sekundærserveren. Det er konstatert alvorlige feil, både ved håndtering av endringen og i fagansvarlig enhet hos EDB som ikke fulgte opp mangelen på korrekt måte. Da det oppsto en feil på primærserveren (hardware) onsdag 20. april 2011, viste det seg at sekundærserveren ikke hadde tilstrekkelig kapasitet til å håndtere trafikkvolumet. Feilen medførte en rekke følgefeil ved bruk av kort i minibank og butikker: Kort ble avvist i minibanker. Det grunnet i manglende svar på forespørsel om aksept fra minibanksystemet på uttak, som skyldtes treghet på IGWS-løsningen. Kort ble avvist på brukersted, grunnet manglende svar på forespørsel om aksept av betalingen på brukerstedet, som skyldtes treghet på IGWS-løsningen. Kort (samme betalingstransaksjon) ble forsøkt benyttet igjen av kunden med den følge at det enten skjedde oppdatering av kapitaltransaksjonen to ganger, eller det skjedde generering av advice-melding (grunnlag for oppdatering av disponert beløp til pseudo-systemet (reservasjon av beløp)) to ganger. Et stort volum advice-meldinger ble på grunn av problemene hos EDB liggende i en ventekø hos Nets Norway AS (Nets). Da disse senere ble oppdatert hos EDB, var kapitaltransaksjonene (EFT-delen) allerede oppdatert, og senere reservering av beløpene skulle ikke ha skjedd. For bankenes kunder oppfattes dette som dobbelt postering/reduksjon av tilgjengelig saldo. Problemer på brukersteder og minibanker startet onsdag 20. april 2011 kl. 10.00, og varte frem til kl. 17.00 samme dag. Konsekvenser av feilen overfor bankenes kunder og rettelser av følgefeil pågikk i praksis frem til onsdag 27. april, da de siste korreksjonene ble gjennomført. 2 Finanstilsynet

EDBs kriseteam ble hurtig etablert for å håndtere avviket. I første omgang ble arbeidet i hovedsak konsentrert om å løse feilen på den aktuelle IGWS-serveren. IGWS-løsningen er en komponent som inngår i en lengre transaksjonskjede. EDBs kriseteam hadde ikke nødvendig innsikt i tjenesteområdene og alle elementer som inngår i transaksjonskjeden. De var dermed ikke i stand til å avverge omfanget av følgefeil. Feilhåndteringen viser at beredskapsorganisasjonen også må bestå av representanter fra bankene og fra andre samarbeidende leverandører, i dette tilfellet Nets. En beredskapsorganisasjon med deltakelse fra banker og Nets kunne ha begrenset konsekvensene av feilen som oppsto. Etablering av et beredskapsopplegg som også omfatter banker og samhandlingspartnere er et ansvar som påligger bankene. Nets ivaretar viktige funksjonsområder for bankenes kortsystemer. Siden EDB ivaretar viktige funksjonsområder på de samme områdene, er det nødvendig med en bedre samhandling mellom EDB, Nets og bankene. Konsekvenser av feilen som oppsto hos EDB, ble synliggjort både på brukerstedene og hos Nets som ivaretar oppgaver knyttet til nettverk, innsamling og avregning. Nets fulgte de fastlagte prosedyrene som forvaltes av Finansnæringens Fellesorganisasjon (FNO) og Bankenes Standardiseringskontor (BSK) på vegne av bankene. Nets fulgte transaksjonstrafikken gjennom sine overvåkings- og oppfølgingssystemer og hadde dermed informasjon om problemene som akkumulerte seg. På dette grunnlaget kunne Nets ha gitt et mer tydelig varsel både til bankene og til EDB om omfanget av problemet og risikoen ved at advice-meldinger ville nå frem til EDB først etter at kapitaltransaksjonene var avregnet. Dette betyr at det også hos Nets er behov for å ha en beredskapsorganisasjon som omfatter representanter fra bankene og viktige leverandører som Nets må samhandle med. Etter det Finanstilsynet kjenner til, vil FNO gå gjennom gjeldende regelverk for BankAxept ( Blåboka ) slik at dette kan tilpasses en krisesituasjon på en bedre måte enn nåværende regelverk. 3 Tiltak og oppfølging 3.1 Bankenes ansvar Driftsproblemene synliggjør sårbarheter i transaksjonskjeden, og viser nødvendigheten av at bankene tar tydeligere ansvar for den delen av transaksjonskjeden som driftes av eksterne leverandører. Bankene har ansvar for alle aktiviteter som utgjør bankens virksomhet. Dette er særlig tydeliggjort i Forskrift om risikostyring og internkontroll og i IKT-forskriften som vektlegger bankenes ansvar også for oppgaver som er utkontraktert. Dette ansvaret gjelder uavkortet også om feilen reelt har oppstått hos leverandøren. Det er et spørsmål om feil, slik som i dette aktuelle tilfellet, kunne vært begrenset ved at bankene i større grad og på en mer aktiv måte utøvde sitt ansvar. Nødvendige tiltak: Bankene må sette konkrete krav til leverandørene og deres arbeid, og forsikre seg om at arbeidet utføres i henhold til avtale, aktuelle retningslinjer og gjeldende regelverk, gjennom utøvelsen av en aktiv styring og kontroll med leveransene. Finanstilsynet 3

3.2 Kartlegging av kritiske komponenter Det er av vesentlig betydning for bankenes virksomhet at bankene har identifisert komponentene i sin IKT-infrastruktur som representerer kritiske funksjoner slik at betalingssystemer og kundereskontrovirksomheten har tilstrekkelig tilgjengelighet. Det vises til IKT-forskriftens 3 (Risikoanalyse), 10 (Krav til kontinuitet) og 11 (Driftsavbrudd og katastrofeberedskap) som stiller krav på dette området. Nødvendige tiltak: Bankene må kartlegge og dokumentere kritiske komponenter i sin IKT-infrastruktur og øvrige nødvendige elementer som inngår i transaksjonskjeden, inkludert de komponenter som befinner seg hos eksterne leverandører. Dokumentasjonen skal inneholde en vurdering av risiko, sikring av kontinuitet og hvordan beredskap er sikret. Bankens internrevisjon 1 skal bekrefte at kartleggingen og dokumentasjonen er foretatt på en forsvarlig måte. Dokumentasjonen, sammen med internrevisjonens bekreftelse, skal forelegges bankens styre. Finanstilsynet legger til grunn at risikovurderingen knyttet til kritiske komponenter i IKT-infrastrukturen inngår som del av den årlige vurderingen av risikosituasjonen, jf. forskrift om risikostyring og internkontroll 8. Kopi av dokumentasjonen etter gjennomgangen i 2011 og internrevisjonens bekreftelse skal sendes Finanstilsynet innen 31.12.2011. 3.3 Samordnet beredskap Det er ikke tilfredsstillende at banker og viktige leverandører ikke har en samordnet beredskap. Hendelsene i påsken 2011 viser at den enkelte leverandør ikke har tilstrekkelig innsikt til å begrense konsekvensene av en alvorlig hendelse. Presis og rettidig informasjon i aktuelle kanaler kan være avgjørende for håndtering av et problem. Når det gjelder krav til beredskapsopplegg vises det til IKT-forskriftens 11 (Driftsavbrudd og katastrofeberedskap). Bankene må sikre at beredskapen er samordnet med leverandørenes beredskapsorganisasjoner der dette vurderes som hensiktsmessig (leverandør som har betydning for bankens virksomhet), og at det gjennomføres øvelser som sikrer at den totale beredskapsorganisasjonen fungerer. Den enkelte bank gir Finanstilsynet en redegjørelse for hvordan dette er løst innen 31.12.2011. 1 Gjelder for de bankene som har internrevisjon. 4 Finanstilsynet

3.4 Endringskontroll Nødvendige tiltak: Bankene må vurdere hvordan de på en hensiktsmessig måte og i større grad enn i dag kan delta i endringshåndteringen hos leverandører. Dette gjelder der bankenes løsninger er direkte berørt i endringene, og for kritiske komponenter som direkte kan berøre bankenes betalingssystemer og/eller kunde-/reskontroområdet. Det vises her til IKT-forskriftens 9 (Avviks- og endringshåndtering). En redegjørelse for hvordan den enkelte bank vil sikre seg en mer direkte deltakelse i endringshåndteringen sendes Finanstilsynet innen 31.12.2011. Emil R. Steffensen Anne Merethe Bellamy Kontaktpersoner: Seksjonssjef Frank Robert Berg, tlf. 22 93 98 47, e-post: frank.robert.berg@finanstilsynet.no Tilsynsrådgiver Stig Ulstein, tlf. 22 93 99 66, e-post: stig.ulstein@finanstilsynet.no Finanstilsynet 5

FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo POST@ @FINANSTILSYNET.NO WWW.FINANSTILSYNET.NO

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding