Вимога забезпечити “ідентифікацію обладнання користувачів та привілейованих користувачів (персональні комп’ютери, мобільні пристрої), що підключається до інформаційно-комунікаційних систем надавача фінансових послуг (за апаратним ідентифікатором управління доступом до обладнання, сертифікатами, за допомогою спеціалізованого програмного забезпечення), та запровадити заходи, що унеможливлюють роботу обладнання в системах без відповідної ідентифікації”.
На практиці страховики життя мають ВЕБ -платформи (так звані калькулятори або кабінети консультантів), які використовуються виключно субагентами (консультантами мультиагентів) та власними страховими агентами в індивідуальних продажах) для розрахунку варіантів страхових сум та премій за договорами страхування життя, заповнення та підписання Е-заяви на страхування життя, обслуговування наступних сплат страхових премій за договорами страхування життя, тощо.
Субагенти можуть зайти та почати користуватись такими ВЕБ-платформами з різних телефонів та комп’ютерів, після проходження певної верифікації відповідно до вимог страховика, але страховики можуть бути нездатними забезпечити “ідентифікацію обладнання користувачів”.
Чи можливе уточнення, що ця вимога не стосується частини інформаційно-комунікаційних систем надавача фінансових послуг яка є WEB-сервісом з доступом з мережі Інтернет? Або просимо надати роз’яснення щодо варіантів виконання вимог у даній ситуації.
Вимоги підпункту 4 пункту 25 Положення № 143 спрямовані на забезпечення контрольованого підключення обладнання користувачів та привілейованих користувачів (персональні комп’ютери, мобільні пристрої) до інформаційно-комунікаційних систем надавача фінансових послуг. При цьому, терміни “користувач”, “привілейований користувач” уживаються у значеннях, наведених у підпунктах 6, 8 пункту 2 Положення № 143.
У разі якщо WEB платформи, уключаючи ті, що наведені в листі, є інформаційно-комунікаційними системами надавача фінансових послуг або їх складовими та через які здійснюється доступ до внутрішніх ресурсів або даних клієнтів надавача фінансових послуг, вимоги підпункту 4 пункту 25 Положення № 143 розповсюджуються на них.
Ідентифікація обладнання користувачів та привілейованих користувачів може здійснюватися, зокрема, з використанням:
– апаратного ідентифікатора управління доступом до обладнання (наприклад, MAC-адреса мережевої карти, що використовується для ідентифікації обладнання в комп’ютерних мережах, смарт карта, банківська картка, апаратний ключ безпеки, тощо);
– сертифікату пристрою, який встановлюється на довірений пристрій та WEB-платформа перевіряє наявність цього сертифіката під час встановлення з’єднання;
– спеціалізованого програмного забезпечення, що забезпечує, наприклад, виконання функцій системи контролю доступу до мереж, систем та обладнання надавача фінансових послуг.
Вибір конкретного способу та інструменту ідентифікації обладнання користувачів та привілейованих користувачів має здійснюватися надавачем фінансових послуг виходячи з особливостей інформаційної інфраструктури фінансової установи та з урахуванням визначення ролей та розподілу прав доступу користувачів та привілейованих користувачів інформаційнокомунікаційних систем надавача фінансових послуг.