НБУ виклав у новій редакції Положення про Систему BankID :: Коментарі до нормативних документів і роз'яснень

НБУ виклав у новій редакції Положення про Систему BankID

Документ

Постанова Правління НБУ від 01.09.2023 р. № 105 «Про внесення змін до Положення про Систему BankID Національного банку України»

Коментар

НБУ постановою від 01.09.2023 р. № 105 (Постанова № 105) виклав в новій редакції Положення про Систему BankID Національного банку України, затвердженого постановою Правління НБУ від 17.03.2020 р. № 32 (Положення № 32).

Зокрема, слід звернути увагу на наступні новації.

1. Розширено вимоги щодо здійснення абонентами – ідентифікаторами багатофакторної автентифікації користувача.

Багатофакторна автентифікація – це автентифікація, здійснена з використанням не менше двох факторів автентифікації, кожен із яких має належати до різних категорій факторів автентифікації, а саме – знання, володіння, притаманність (пп.9 п.2 Положення № 32). Вимоги до автентифікації визначені розділом VІІІ Положення № 32.

Абонент-ідентифікатор зобов’язаний застосовувати багатофакторну автентифікацію користувача під час отримання кожного електронного запиту на електронну дистанційну ідентифікацію (ЕЗІ) та здійснювати передавання даних такого користувача з використанням Системи BankID Національного банку лише після успішного її проходження (п.57 Положення № 32).

Процедура багатофакторної автентифікації передбачає використання двох або більше факторів автентифікації, кожен із яких має належати до різних категорій факторів автентифікації, успішна перевірка яких забезпечує однозначне встановлення та підтвердження особи користувача. Кожний із факторів автентифікації має бути незалежним один від одного для уникнення можливості їх одночасної компрометації (п.58 Положення № 32).

Успішне проходження процедури багатофакторної автентифікації користувачем є обов’язковою умовою для передавання його даних абоненту – надавачу послуг/абоненту – надавачу послуг зі спеціальним статусом (п.61 Положення № 32).

Процедуру заміни раніше збереженого фінансового номера телефону користувача, який використовується під час багатофакторної автентифікації користувача, наведено в п.62 та 63 Положення № 32.

Звертаємо увагу, що вимоги розділу VІІІ набирають чинності з 1 березня 2024 року (п.5 Постанови № 105).

2. Оновлено обов'язки учасників Системи BankID, зокрема, абонента-ідентифікатора.

Так, відповідно до п.34 Положення № 32 абонент – ідентифікатор зобов’язаний:

забезпечити повноту, достовірність й актуальність надання електронного підтвердження електронної дистанційної ідентифікації (ЕПІ) користувачів;
отримати від користувача дозвіл на передавання його даних абоненту – надавачу послуг/абоненту – надавачу послуг зі спеціальним статусом із метою здійснення електронної дистанційної ідентифікації та/або верифікації користувача з використанням Системи BankID;
після успішного проходження користувачем процедури автентифікації та перед передаванням ЕПІ через Систему BankID підписати таке ЕПІ кваліфікованим електронним підписом уповноваженого працівника абонента-ідентифікатора або засвідчити кваліфікованою електронною печаткою абонента-ідентифікатора, та після підписання/засвідчення зашифрувати ЕПІ згідно з вимогами, зазначеними в специфікації взаємодії;
надавати інформацію на письмовий запит абонента – надавача послуг/абонента – надавача послуг зі спеціальним статусом щодо ЕПІ (параметри та їх наповнення), отриманих від такого абонента-ідентифікатора, з метою вирішення спірних питань, що виникають між користувачем та абонентом, та питань відповідності ЕПІ специфікації взаємодії у строк до 20 календарних днів із дати отримання письмового запиту.

Гарантії та порядок вирішення спорів визначено розділом VII Положення № 32.

3. 3більшено до 5 років (раніше – 45 днів) строк зберігання абонентами інформації про передачу даних через Систему BankID.

Так, згідно з п.35 Положення № 32 абонент – ідентифікатор та абонент – надавач послуг, який є комерційним абонентом, зобов’язані забезпечити зберігання в електронному вигляді не менше 5 років після припинення ділових відносин із користувачем або завершення разової операції/надання послуги без встановлення ділових відносин із користувачем, щодо якого абонентом було отримане або надане ЕПІ, для можливості вирішення спорів між абонентами та/або абонентом та користувачем щодо успішних ЕПІ:

ЕЗІ та ЕПІ користувача, здійснених із використанням Системи BankID;
інформації (технічних параметрів, які дають змогу ідентифікувати ЕЗІ/ЕПІ та факт їх проходження між суб’єктами) про передавання до та отримання від центрального вузла Системи BankID ЕЗІ та ЕПІ.

До того ж відповідно до п.36 Положення № 32 абонент – надавач послуг зі спеціальним статусом та некомерційний абонент – надавач послуг зобов’язані забезпечити зберігання в електронному вигляді значень таких ключів електронної анкети специфікації взаємодії, як ідентифікатор сесії та унікальний ідентифікатор абонентського вузла в Системі BankID, та іншої інформації (технічних параметрів, які дають змогу ідентифікувати ЕЗІ/ЕПІ та факт їх проходження між суб’єктами) не менше 5 років із дати ініціювання ЕЗІ/надходження ЕПІ, про:

передавання ЕЗІ до та отримання ЕПІ від центрального вузла Системи BankID;
отримання ЕЗІ від та передавання ЕПІ до контрагентів абонента – надавача послуг зі спеціальним статусом (для абонентів – надавачів послуг зі спеціальним статусом).

Постанова № 105 набрала чинності з дня, наступного за днем її офіційного опублікування, – 5 вересня 2023 року, крім розділу VІІІ Положення № 32, який набирає чинності з 1 березня 2024 року (п.5 Постанови № 105)¹. При цьому абонентам Системи BankID необхідно привести свою діяльність у відповідність до нових вимог до 1 грудня 2023 року (п.2 Постанови № 105).

¹ Постанову № 105 офіційно опубліковано на офіційному Інтернет-представництві НБУ 04.09.2023 р.