Документ
Коментар
НБУ постановою від 01.09.2023 р. № 105 (Постанова № 105) виклав в новій редакції Положення про Систему BankID Національного банку України, затвердженого постановою Правління НБУ від 17.03.2020 р. № 32 (Положення № 32).
Зокрема, слід звернути увагу на наступні новації.
1. Розширено вимоги щодо здійснення абонентами – ідентифікаторами багатофакторної автентифікації користувача.
Багатофакторна автентифікація – це автентифікація, здійснена з використанням не менше двох факторів автентифікації, кожен із яких має належати до різних категорій факторів автентифікації, а саме – знання, володіння, притаманність (пп.9 п.2 Положення № 32). Вимоги до автентифікації визначені розділом VІІІ Положення № 32.
Абонент-ідентифікатор зобов’язаний застосовувати багатофакторну автентифікацію користувача під час отримання кожного електронного запиту на електронну дистанційну ідентифікацію (ЕЗІ) та здійснювати передавання даних такого користувача з використанням Системи BankID Національного банку лише після успішного її проходження (п.57 Положення № 32).
Процедура багатофакторної автентифікації передбачає використання двох або більше факторів автентифікації, кожен із яких має належати до різних категорій факторів автентифікації, успішна перевірка яких забезпечує однозначне встановлення та підтвердження особи користувача. Кожний із факторів автентифікації має бути незалежним один від одного для уникнення можливості їх одночасної компрометації (п.58 Положення № 32).
Успішне проходження процедури багатофакторної автентифікації користувачем є обов’язковою умовою для передавання його даних абоненту – надавачу послуг/абоненту – надавачу послуг зі спеціальним статусом (п.61 Положення № 32).
Процедуру заміни раніше збереженого фінансового номера телефону користувача, який використовується під час багатофакторної автентифікації користувача, наведено в п.62 та 63 Положення № 32.
Звертаємо увагу, що вимоги розділу VІІІ набирають чинності з 1 березня 2024 року (п.5 Постанови № 105).
2. Оновлено обов'язки учасників Системи BankID, зокрема, абонента-ідентифікатора.
Так, відповідно до п.34 Положення № 32 абонент – ідентифікатор зобов’язаний:
Гарантії та порядок вирішення спорів визначено розділом VII Положення № 32.
3. 3більшено до 5 років (раніше – 45 днів) строк зберігання абонентами інформації про передачу даних через Систему BankID.
Так, згідно з п.35 Положення № 32 абонент – ідентифікатор та абонент – надавач послуг, який є комерційним абонентом, зобов’язані забезпечити зберігання в електронному вигляді не менше 5 років після припинення ділових відносин із користувачем або завершення разової операції/надання послуги без встановлення ділових відносин із користувачем, щодо якого абонентом було отримане або надане ЕПІ, для можливості вирішення спорів між абонентами та/або абонентом та користувачем щодо успішних ЕПІ:
До того ж відповідно до п.36 Положення № 32 абонент – надавач послуг зі спеціальним статусом та некомерційний абонент – надавач послуг зобов’язані забезпечити зберігання в електронному вигляді значень таких ключів електронної анкети специфікації взаємодії, як ідентифікатор сесії та унікальний ідентифікатор абонентського вузла в Системі BankID, та іншої інформації (технічних параметрів, які дають змогу ідентифікувати ЕЗІ/ЕПІ та факт їх проходження між суб’єктами) не менше 5 років із дати ініціювання ЕЗІ/надходження ЕПІ, про:
Постанова № 105 набрала чинності з дня, наступного за днем її офіційного опублікування, – 5 вересня 2023 року, крім розділу VІІІ Положення № 32, який набирає чинності з 1 березня 2024 року (п.5 Постанови № 105)1. При цьому абонентам Системи BankID необхідно привести свою діяльність у відповідність до нових вимог до 1 грудня 2023 року (п.2 Постанови № 105).
1 Постанову № 105 офіційно опубліковано на офіційному Інтернет-представництві НБУ 04.09.2023 р.