Auditarea instrumentelor de plată cu acces la distanță

Auditarea instrumentelor de plată cu acces la distanță, de tipul aplicațiilor internet-banking, home-banking sau mobile-banking pentru obținerea avizului MCSI în conformitate cu Ordinul MCSI nr. 553 din 5 iunie 2019.

Auditul efectuat de o persoană certificată ISACA, ca auditor de sisteme informatice, CISA, confirmă că sistemul informatic al emitentului și soluția software, prin intermediul cărora este oferit instrumentul de plata cu acces la distanta, îndeplinesc cerințele de securitate, referitoare la:

• confidenţialitatea şi integritatea comunicaţiilor între emitent şi beneficiarul instrumentului financiar de plată electronică cu acces la distanţă;
• mecanismele care să garanteze confidenţialitatea şi nerepudierea operaţiunilor efectuate utilizând instrumentul de plată electronică cu acces la distanţă;
• autenticitatea părţilor care participă la tranzacţii şi existenţa metodelor de autentificare în concordanţă cu nivelul de securitate al platformei software, precum şi mijloacele de garantare a identităţii;
• confidenţialitatea, autenticitatea şi integritatea informaţiilor/datelor aferente tranzacţiilor efectuate cu ajutorul instrumentului de plată electronică, prin sistemul informatic al emitentului, în timpul procesării, stocării şi arhivării acestora;
• păstrarea secretului bancar;
• trasabilitatea tranzacţiilor;
• respectarea protecţiei datelor cu caracter personal în sistemele informatice;
• controlul accesului fizic şi logic la sistemul informatic şi la platforma/aplicaţia software utilizate în procesul de furnizare a instrumentului financiar de plată electronică cu acces la distanţă;
• stocarea, păstrarea datelor înregistrate şi jurnalizarea acestora, precum şi păstrarea în siguranţă a unor copii de rezervă ale datelor şi aplicaţiilor;
• prevenirea/limitarea/înlăturarea impactului incidentelor de securitate informatică, reluarea în siguranţă a activităţii şi recuperarea informaţiilor afectate;
• detectarea, înregistrarea şi gestionarea incidentelor de securitate informatică;
• evaluarea riscurilor de securitate informatică şi măsuri de gestionare a acestora;
• asigurarea unui proces formal şi continuu (cel puţin anual) de pregătire a resurselor umane implicate în operarea, mentenanţa şi administrarea instrumentelor de plată electronică cu acces la distanţă şi o evaluare anuală a acestora;
• continuitatea serviciilor oferite clienţilor;
• gestionarea şi administrarea sistemului informatic;

De asemenea trebuie evaluat impactul operaţiilor de modificare a arhitecturii din cadrul sistemului informatic (componente hardware/software) şi aplicaţiilor software utilizate în ciclul de viaţă al instrumentului de plată electronică cu acces la distanţă precum și impactul modificării planului de securitate specific securităţii aferente instrumentului de plată cu acces la distanţă.

Riscurile operaţionale generate de utilizarea sistemelor informatice prin intermediul cărora este furnizat instrumentul de plată electronică cu acces la distanţă trebuie evaluate, iar pentru adresarea acestora instituția financiară trebuie să adopte măsuri tehnice şi organizatorice.

Evaluare riscurilor și măsurile adoptate pentru îndeplinirea cerințelor de securitate care vor fi documentate în planul de securitate. Aceste măsuri vor fi monitorizate continuu, iar evaluarea riscurilor efectuată cel puțin anual.

Furnizorii de servicii IT externalizate pentru sistemele informatice de plată la distanță trebuie să dețină un sisteme de management al securității informației certificat SR ISO/IEC 27001 de un organism recunoscut.

Trimestrial, referitor la instrumentele de plată electronică cu acces la distanţă, se vor raporta către autoritate: numărul de utilizatori, numărul de plăţi efectuate, valoarea plăţilor efectuate.