А вам слабо назвать все свои IP и MAC(!)-адреса?

[dil]

“1. Внести в Положение Банка России от 19 августа 2004 года No 262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию)
доходов, полученных преступным путем, и финансированию терроризма» … следующие изменения.
…
1.2. Приложение 1 дополнить пунктом 9 следующего содержания:
«9. Сведения об IP- и МАС-адресе (IP- и МАС-адресах), посредством которых физическим лицом осуществляется доступ к банковскому счету, открытому в кредитной организации, с целью совершения операций по нему в рамках заключенного кредитной организацией с данным физическим лицом договора, предусматривающего его обслуживание с использованием технологии дистанционного доступа к банковскому счету, включая интернет-банкинг.».

Это не шутка. Проект соответствующего Указания “О внесении изменений в Положение Банка России
от 19 августа 2004 года No 262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных
преступным путем, и финансированию терроризма»” лежит на сайте Центробанка: http://www.cbr.ru/analytics/standart_acts/projects/121008_1.pdf

Хороший способ убить интернет-банкинг, ничего не скажешь.

Оригинал этой записи в личном блоге.

Comments

[filonovd.myopenid.com]

все - слабо. Некоторые, которые я использую для работы с интернет-банком, не слабо. Но таки идея зело дурацкая, да.

[scarab.livejournal.com]

Вот сначала вырывают из контекста фразы, а потом панику поднимают. Вы само положение 262-П читали?

Приложение 1: "СВЕДЕНИЯ, ПОЛУЧАЕМЫЕ В ЦЕЛЯХ ИДЕНТИФИКАЦИИ ФИЗИЧЕСКИХ ЛИЦ".
Приложение 2: "СВЕДЕНИЯ, ПОЛУЧАЕМЫЕ В ЦЕЛЯХ ИДЕНТИФИКАЦИИ
ЮРИДИЧЕСКИХ ЛИЦ И ИНДИВИДУАЛЬНЫХ ПРЕДПРИНИМАТЕЛЕЙ".

И речь здесь идёт всего лишь о том, что банк обязан собирать упомянутую информацию в рамках идентификации клиента. Он её и так собирает, надо сказать - я сам лично регулярно делал выгрузки из логов по запросу соответствующих органов. Просто если раньше за отсутствие таких логов трахнуть банк по голове было сложно, то сейчас будет проще. Но это проблемы банка, а не клиента.

Собственно говоря, весь приличный софт дистанционного банковского обслуживания и без того умеет ставить дополнительные фильтры на IP и MAC. Многие клиенты этим пользуются и процент фрода эти меры реально снижают.

[dil]

Читал. Только там не указано, как именно банк должен получать эти сведения.

А исходя из предыдущих восьми пунктов Приложения 1
"1. Фамилия, имя и (если иное не вытекает из закона или национального обычая) отчество.
2. Дата и место рождения.
3. Гражданство.
4. Реквизиты документа, удостоверяющего личность: серия и номер документа, дата выдачи документа, наименование органа, выдавшего документ, и код подразделения (если имеется).
...
5. Данные миграционной карты
...
6. Адрес места жительства (регистрации) или места пребывания.
7. Идентификационный номер налогоплательщика (если имеется).
8. Номера контактных телефонов и факсов (если имеются)."

я могу сделать вывод, что банк собирает их не сам по себе, а требует их предоставления от клиента. И если эти поправки будут приняты, то банки начнут требовать и IP и MAC-адреса.

[scarab.livejournal.com]

Да им-то это зачем?
Банки находятся меж двух огней: с одной стороны - обслужить клиента, с другой - удовлетворить многочисленные и часто противоречивые требования различных регуляторов - ЦБ, налоговую, росфинмониторинг, МВД, ФСБ...

В 262-П сказано:
----
2.1. В целях идентификации клиента, установления и идентификации выгодоприобретателя кредитной организацией осуществляется сбор сведений и документов, предусмотренных приложениями 1 - 3 к настоящему Положению, документов, являющихся основанием совершения банковских операций и иных сделок, а также иной необходимой информации и документов.
...
Кредитная организация также может использовать иные дополнительные (вспомогательные) источники информации, доступные кредитной организации на законных основаниях.
----

Логи интернет-банка позволяют осуществлять сбор? Позволяют. Законно? Законно. Ну и хорошо.


Я вот сегодня план действий в чрезвычайных ситуациях расписывал, вот там да, на 50+ листов текста. В том числе в случае "падения объектов с неба" :)

[dil]

А теперь, внимание, вопрос: если уже сейчас на основании процитированного пункта 2.1 банк может осуществлять сбор "иной необходимой информации", и как вы подтверждаете, он её и так собирает, поскольку она "необходима", например, в случае запросов из органов, то зачем эти дополнения вообще понадобились?

[mcjabberwock]

В действиях ЦБ (как, к слову, и многих других госструктур) логика и здравый смысл давно перестали быть необходимыми.

[3apa3a-b-ta3e.livejournal.com]

"У меня есть идея, но она вам не понравится"(с)

Эти дополнения нужны затем, чтобы их обсуждали. Всё.

[dil]

Вполне себе вариант.

[mcjabberwock]

Ты всерьёз считаешь, что сейчас банк не выдаст твои IP адреса за весь период наблюдения по первому же запросу? Очень даже выдаст.
MAC? А что MAC? В ответе будет указано что-то типа "при используемом способе связи определён быть не может".

[dil]

В этом я даже и не сомневался.

Меня несколько пугает, что на основании этих изменений банки начнут требовать предоставления этих сведений от самих клиентов. Поскольку MAC, например, кроме как непосредственно от клиента получить негде.

[3apa3a-b-ta3e.livejournal.com]

MAC соберётся банковским же софтом и будет передан вместе с другой информацией.

[dil]

http://dil.dreamwidth.org/1118967.html?thread=8541175#cmt8541175

Ну и вообще банковский софт иногда отсутствует как таковой, а используется обычный браузер.

[3apa3a-b-ta3e.livejournal.com]

обычный такой себе Internet Explorer, в котором обычный такой себе ActiveX, в котором... дальше продолжать?

[dil]

Обычный такой firefox, в котором ни хрена нет никаких activex'ов, флешей и прочей джавы. Я, например, им успешно полшьзуюсь доля онлайн-банкинга. Правда, банк у меня не российский :)

[scarab.livejournal.com]

Ну если даже эту поправку и примут - всё будет зависеть от того, насколько ЦБ будет трахать за её нарушение. Может быть действительно пройдёт отмазка "IP такой-то, MAC-адрес не может быть определён в силу причин технического характера", а может быть и не пройдёт. Ну выпишут очередное предписание из сотни других.

ЦБ вообще очень много требует в этом плане. В частности, банк раз в год (или чаще) обязан предоставлять форму отчётности по использованию интернет-технологий, из 40+ пунктов. В частности, требуется:

• Наличие внутреннего документа, регламентирующего порядок использования WEB-сайта
  
• Наличие внутреннего документа, регламентирующего порядок предоставления услуг интернет-банкинга
  
• Наличие внутреннего документа, регламентирующего порядок осуществления сетевого мониторинга и системного аудита
  
• Наличие методического документа по контролю за рисками, связанными с интернет-банкингом
  
• Наличие документа по результатам контроля за рисками, связанными с интернет-банкингом
  
• Наличие документа, определяющего процедуры внутреннего контроля за технологиями интернет-банкинга
  
• Наличие плана обеспечения непрерывности функционирования в части операций интернет-банкинга
  
• Наличие внутреннего документа, регламентирующего порядок действий при обнаружении сетевых атак в системе интернет-банкинга
  

Это не означает, конечно, что все эти бумажки на практике есть - но в общем лишний повод отыметь в ходе очередной проверки.

[3apa3a-b-ta3e.livejournal.com]

А российский банк вполне может обязать клиентов либо пользоваться только IE, либо раздавать плагин к FF (Chrome), и без плагина не пускать на сайт.
Вариантов-то море. И с подводной лодки никуда.

[dil]

Сдаётся мне, что плагину в FF никто просто так мак-адреса не отдаст.