De acordo com o projeto, o sistema de Internet Banking deve estar em conformidade com os regulamentos para garantir a segurança do sistema de informação no nível 3 ou superior, de acordo com as disposições da lei para garantir a segurança do sistema de informação no nível e os regulamentos do Banco Estatal sobre a segurança do sistema de informação em atividades bancárias.
Garantir a confidencialidade e a integridade das informações dos clientes; garantir a disponibilidade do sistema de Internet Banking para fornecer serviços contínuos.
As transações dos clientes são avaliadas quanto aos níveis mínimos de risco de acordo com cada grupo de clientes, tipo de transação, limite de transação (se houver) e, com base nisso, fornecem métodos de autenticação de transação apropriados para os clientes escolherem, em conformidade com os regulamentos: Aplique autenticação multifator ao alterar informações de identificação do cliente; aplique métodos de autenticação para cada grupo de clientes, tipo de transação, limite de transação de acordo com os regulamentos; para transações de várias etapas, pelo menos uma medida de autenticação deve ser aplicada na etapa de aprovação final.
Realizar verificações e avaliações anuais de segurança do sistema de Internet Banking.
Identificar regularmente os riscos, os riscos potenciais e determinar as causas dos riscos, tomar prontamente medidas para prevenir, controlar e lidar com os riscos na prestação de serviços bancários na Internet.
Os equipamentos de infraestrutura de tecnologia da informação que prestam serviços bancários online devem possuir direitos autorais, origem e fonte claras. Para equipamentos que estão se aproximando do fim de sua vida útil e não receberão mais suporte do fabricante, a unidade deve ter um plano de atualização e substituição de acordo com o anúncio do fabricante, garantindo que o equipamento de infraestrutura seja capaz de instalar novas versões de software.
Possui firewalls, sistemas de monitoramento e alertas de comportamento anormal
A unidade deve estabelecer um sistema de rede, comunicações e segurança que atenda aos seguintes requisitos mínimos:
Existem soluções mínimas de segurança, incluindo: firewall de aplicativo; firewall de banco de dados; sistema centralizado de monitoramento e alerta para ataques ou comportamento incomum.
As informações do cliente não são armazenadas na partição de conexão com a Internet e na partição DMZ (partição intermediária entre a rede interna e a Internet).
Configure uma política para limitar serviços e gateways que se conectam ao sistema de Internet Banking.
As conexões de fora da rede interna ao sistema de Internet Banking para administração só podem ser feitas nos casos em que não seja possível conectar-se a partir da rede interna e devem ser seguras, obedecendo pelo menos às seguintes regulamentações: Devem ser aprovadas por uma pessoa autorizada após revisão da finalidade e do método de conexão; deve haver um plano para gerenciamento de acesso, administração segura do sistema remoto, como o uso de uma rede privada virtual ou equivalente; o dispositivo de conexão deve ser instalado com software de segurança; deve usar medidas de autenticação multifator ao fazer login no sistema; usar protocolos de comunicação criptografados seguros e não armazenar chaves secretas em software utilitário.
A conexão de rede que fornece o serviço deve garantir alta disponibilidade e prestação contínua de serviço.
Estabelecer um mecanismo para detectar e prevenir intrusões e ataques de rede no sistema
O projeto também estabelece claramente que a unidade deve gerenciar as vulnerabilidades e fraquezas do sistema de Internet Banking com os seguintes conteúdos básicos:
Tenha medidas para prevenir, detectar e detectar alterações no site e no software do aplicativo Online Banking.
Estabelecer um mecanismo para detectar e prevenir intrusões e ataques de rede no sistema de Internet Banking.
Coordenar com unidades de gestão estaduais e parceiros de tecnologia da informação para compreender prontamente incidentes e situações de perda de segurança e proteção da informação para tomar medidas preventivas oportunas.
Atualizar informações sobre vulnerabilidades de segurança publicadas relacionadas a software de sistema, sistemas de gerenciamento de banco de dados e software de aplicativo de acordo com informações do Common Vulnerability Scoring System.
Verifique vulnerabilidades e fraquezas do sistema de Internet Banking pelo menos uma vez por ano ou ao receber informações relacionadas a novas vulnerabilidades e fraquezas. Avalie o nível de impacto e risco de cada vulnerabilidade descoberta e fraqueza técnica do sistema e proponha soluções e planos para lidar com elas.
Implemente atualizações de patches de segurança ou medidas preventivas oportunas com base na avaliação de impacto e risco.
Fonte
Comentário (0)