Центробанк указал на основные угрозы использования платежного кода

ВедомостиHi-Tech

Стандарты кода

Центробанк указал на основные угрозы использования платежного кода и определил меры по их нивелированию. Банки оценили описанные риски и меры защиты как достаточные для создания безопасной экосистемы платежей

Наталья Заруцкая
пн. 10.02.2025

Операторы, принимающие электронные платежи, должны обеспечить использование универсального платежного кода во всех своих программных и технических средствах / Андрей Гордеев / Ведомости

Банк России разработал и утвердил стандарт, определяющий правила безопасного использования QR-кодов для платежей и переводов. Банки, некредитные финансовые организации, операционный и платежный клиринговый центр СБП, поставщики платежных приложений и иные организации, использующие QR-код, смогут разработать на основе регламента ЦБ свои внутренние меры защиты, говорится в документе. Стандарт носит рекомендательный характер и вступит в силу 17 февраля.

Документ подробно описывает виды платежных кодов, механизмы их формирования, сценарии применения и проведения оплаты по ним. Регулятор выделил четыре основных типа QR-кодов в зависимости от состава хранимой информации. Первый – платежный код с реквизитами плательщика, который формируется им самим и содержит информацию для переводов, например реквизиты карты или счета. Второй – код с реквизитами получателя. Он формируется получателем/поставщиком платежного QR-кода и содержит данные, необходимые для перевода денежных средств (информация об операции), либо платежные реквизиты получателя. Третий тип – с платежной ссылкой плательщика, а четвертый – с платежной ссылкой получателя. В обоих случаях эту ссылку формирует поставщик QR и перенаправляет человека на сайт с данными, которые необходимы для совершения платежа.

Согласно стандарту, платежный код может использоваться в двух сценариях: в виде динамического QR, который формируется для конкретной операции, и статического QR, который создается однократно для регулярного использования при переводах и содержит как платежную ссылку, так и реквизиты плательщика/получателя.

Объем угроз

В зависимости от вида QR-кодов ЦБ систематизировал угрозы, которые могут возникнуть на каждом этапе операции, и представил типовые способы защиты от них. Среди рисков – изменение данных в запросе или самого запроса на формирование QR-кода и модификация кода. Еще Банк России выделяет угрозу передачи неконтролируемых запросов на формирование или активацию QR-кода (возникает из-за несанкционированного доступа к системам торговой точки или ошибок ПО). Среди описанных в стандарте угроз также есть подмена QR-кода, его кража, проведение повторного перевода денежных средств, фишинг и внедрение вредоносных программ через QR на устройство плательщика. К рискам регулятор относит и включение в платежные коды избыточных конфиденциальных данных и риск их утечки.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Как понять, что ты работаешь в токсичной компании? 5 главных признаков Как понять, что ты работаешь в токсичной компании? 5 главных признаков

Как понять, что пора задуматься об увольнении?

Playboy
Будь в форме Будь в форме

Мы собрали семь причин, из-за которых вы никак не можете обрести фигуру мечты

Moodboard
Франшиза: Что скрывается за этим словом? Франшиза: Что скрывается за этим словом?

Франшиза — идеальный рецепт успеха или сложная система с подводными камнями?

Наука и техника
От Тегерана до Потсдама: большая дипломатия в конце Второй мировой войны От Тегерана до Потсдама: большая дипломатия в конце Второй мировой войны

Как Сталин, Рузвельт и Черчилль преодолевали взаимное недоверие

Монокль
Иван Соснин: Хочется находить крупицы хорошего Иван Соснин: Хочется находить крупицы хорошего

Режиссер Иван Соснин — о пути в кино, сказках и нейросетях в кинопроизводстве

Ведомости
Больше движений! Больше движений!

Нужно больше двигаться, а не искать отговорки, почему не можешь

Y Magazine
Минус вайб Минус вайб

Чем опасно доверять написание кода нейросетям?

N+1
Изогнутый экран смартфона — это удобно? Изогнутый экран смартфона — это удобно?

Стоит ли покупать смартфоны с изогнутыми экранами?

CHIP
Романтика в большом городе Романтика в большом городе

Психология любви в условиях вечной спешки

Лиза
Нажми на кнопку: фильмы по мотивам азиатских игр Нажми на кнопку: фильмы по мотивам азиатских игр

Гид по экранизациям азиатских видеоигр

Правила жизни
Что делать и куда жаловаться, если вас сбил электросамокат Что делать и куда жаловаться, если вас сбил электросамокат

Как действовать в случае ДТП с электросамокатом

РБК
Пресноводные русалки Пресноводные русалки

Когда-то давно, 200 тысяч лет назад, в Евразии появился необыкновенный зверь

Знание – сила
От синтеза клетки до зрелого цветка От синтеза клетки до зрелого цветка

Как выращиваются орхидеи рода фаленопсис на базе тепличного комбината

Агроинвестор
5 самых странных (но прикольных) видов велоспорта: вы точно захотите попробовать 5 самых странных (но прикольных) видов велоспорта: вы точно захотите попробовать

Топ-5 самых необычных спортивных дисциплин с велосипедом

ТехИнсайдер
Атлантические крепости Третьего рейха Атлантические крепости Третьего рейха

Атлантический вал: порты-крепости и их роль в обороне Третьего рейха

Наука и техника
Женщина на борту Женщина на борту

Женщины в море: против суеверий, морских богов и стереотипов

Y Magazine
Стравинский. Танцы. Люди Стравинский. Танцы. Люди

Денис Мережковский разбирается в правилах хореографического импортозамещения

Moodboard
Настоящая леди Настоящая леди

Правила поведения в общественных местах: что ты знаешь о приличиях

Лиза
Нет 100% гарантии. Дешевле и безопаснее купить авто у дилера или перекупа Нет 100% гарантии. Дешевле и безопаснее купить авто у дилера или перекупа

У кого выгоднее приобрести подержанную машину: у дилера или частного продавца?

РБК
Флагман «Адмирала» Флагман «Адмирала»

Platinum от Admiral Yachts: суперъяхта, опередившая своё время

Y Magazine
Киловатты комфорта Киловатты комфорта

AVATR 11: электромощность, переведённая в комфорт

Y Magazine
Привычка худеть Привычка худеть

Думаешь, как сбросить вес без изнурительных тренировок и жестких диет?

Лиза
Дети войны. Воспоминания Марка Розовского Дети войны. Воспоминания Марка Розовского

Война, эвакуация, московские дворы в воспоминаниях драматурга Марка Розовского

Знание – сила
Небо и море люблю одинаково… Небо и море люблю одинаково…

Боевой и жизненный путь генерал-майора авиации Ивана Васильевича Рожкова

Знание – сила
Под знаком футбола Под знаком футбола

Интервью с Марией Галай, футболисткой с девяти лет

Лиза
Цветок для смелых Цветок для смелых

Проект суперъяхты Lily разработали для верфи Oceanco в дизайн-бюро Vripack

Y Magazine
Магдала Магдала

Место паломничества археологов: Магдала – город, упоминаемый в Евангелии

Знание – сила
Афганская эпопея: оценки сегодняшнего дня Афганская эпопея: оценки сегодняшнего дня

Об условиях, в которых принимались решения о вводе и выводе войск из Афганистана

Монокль
О наследии Стефана Пермского О наследии Стефана Пермского

Кто может считаться первым исследователем истории и культуры коми народа?

Знание – сила
Нейросети в поисках персонала: как компании используют искусственный интеллект в рекрутинге уже сейчас Нейросети в поисках персонала: как компании используют искусственный интеллект в рекрутинге уже сейчас

Как рекрутеры используют нейросети — кейсы из России

ТехИнсайдер
Открыть в приложении