3. Порядок доступа в КП.
3.1. Распоряжением по банку назначается сотрудник, имеющий право доступа в КП для осуществления работ по выпуску банковских карт. В случае его временного отсутствия отдельным распоряжением на определенное время назначается дублер, имеющий право доступа в КП.
При смене сотрудника составляется акт, подтверждающий факт передачи документации, ключевых носителей, журналов состояния и контроля. Также отражаются сведения о работоспособности комплекса.
3.2. Ключи от КП и сейфов, находящихся в ней, хранятся в опечатываемом пенале и сдаются в комнату охраны. Копии ключей хранятся в комнате начальника охраны также в опечатанном пенале. Ключи от оборудования хранятся у руководителя карточного подразделения в сейфе.
3.3. По мере необходимости для выпуска банковских карт или проведения тестовых проверок оборудования ответственный сотрудник берет ключи в комнате охраны под роспись в журнале выдачи ключей, а у руководителя карточного подразделения — ключи от оборудования под роспись в журнале.
3.4. После окончания работ ключи от оборудования сдаются руководителю карточного подразделения, остальные ключи в пенале сдаются в комнату охраны. В этот момент КП ставится на сигнализацию.
3.5. В случае отсутствия руководителя карточного подразделения ключи от оборудования выдаются сотрудником, его замещающим.
4. Меры безопасности.
4.1. Журнал состояния оборудования.
Кроме журналов учета банковских карт и ПИН-конвертов ведется также журнал состояния оборудования, в котором отражаются:
— использование авторизационных функций и функций обслуживания;
— изменение состояния устройства (рабочее, тестовое и т. п.);
— использование авторизационных смарт-карт, LMK-ключей;
— акты неработоспособности устройства и передачи в ремонт.
Журнал ведется таким образом, чтобы в результате его анализа можно было определить точное состояние устройства в любой момент времени.
4.2. Приказом по банку назначаются сотрудники, ответственные за получение, хранение и смену LMK-ключей криптоадаптера, используемого для шифрования данных ПИН-кода банковских карт, а также три сотрудника, ответственных за получение, хранение и смену трех компонентов ZMK-ключа (зональный ключ).
4.3. В КП, в отдельном сейфе, хранятся:
— смарт-карты для хранения компонент LMK;
— смарт-карты для хранения мандатов доверенных сотрудников;
— нешифрованные секретные материалы.
При каждой смене доверенного сотрудника или в случае компрометации секретных материалов изменяемая часть должна быть обновлена.
4.4 Необходимые действия сотрудника, ответственного за выпуск карт:
— управление доступом к программному обеспечению и данным, включая установку и периодическую смену паролей, управление средствами защиты программного обеспечения, коммуникаций, данных;
— проведение периодического (не реже одного раза в квартал) контроля сохранности оборудования, а также целостности и легальности установленного программного обеспечения;
— диагностика и восстановление работоспособности комплекса;
— выявление и регистрация попыток несанкционированного доступа;
— доклад непосредственному руководителю и сотруднику службы безопасности о выявленных нарушениях, принятие мер по их устранению, участие в проведении служебных расследований по фактам нарушения безопасности защищаемой информации;
— исключение возможности ознакомления с криптографическими материалами лиц, к ним не допущенным.
5. Функциональные обязанности сотрудника, ответственного за выпуск карт:
— обеспечивать бесперебойный выпуск карт;
— обеспечивать надежное хранение заготовок, готовых карт и ПИН-конвертов;
— осуществлять контроль наличия заготовок; своевременно сообщать руководству о необходимом пополнении запаса заготовок;
— поддерживать вверенное оборудование в работоспособном состоянии, при необходимости вызывать специалистов технической поддержки;
— строго соблюдать порядок доступа в КП, режим конфиденциальности;
— обеспечивать в любое время доступ выделенного сотрудника безопасности в КП.
6. Техническое обслуживание:
— все операции по техническому обслуживанию должны отражаться в журнале состояния оборудования;
— перед передачей устройства в ремонт загруженные в него LMK-ключи должны быть стерты;
— для осмотра и ремонта комплекса на месте издается отдельное распоряжение руководителя карточного подразделения для допуска технического персонала в КП.
Договорные отношения касательно удаленной персонализации с банком-спонсором. Изменения порядка персонализации карт должно быть внесено в договоры между банком-спонсором и спонсируемым банком. Ниже приведены возможные пункты, которые можно внести в эмиссионный договор. При этом следует обратить внимание на возможность возврата к персонализации карт в банке-спонсоре. Это может понадобиться, например, при поломке оборудования и позволит избежать прерываний и задержек в выпуске карт клиентам. Также необходимо изменить тарифы на выпуск карт, так как при удаленной персонализации затраты банка-спонсора значительно уменьшаются и приближаются к нулю. В приведенном ниже тексте «Спонсор» — банк-спонсор, а «Банк» — спонсируемый банк.
1. Обмен электронными файлами между Банком и Спонсором по операциям, связанным с эмиссией, перевыпуском, закрытием Банком карт, производится в порядке и формате, согласованном Сторонами. В случае если Банк самостоятельно осуществляет персонализацию карт, Спонсор передает Банку необходимые сведения для эмиссии карт и печати ПИН-конвертов.
2. Стороны договариваются о том, что основным способом персонализации карт является самостоятельная персонализация карт Банком. В качестве резервного способа Банк может использовать персонализацию данных в системе расчетов Спонсором.
3. При организации самостоятельной персонализации Банк обязан осуществить подготовку помещения для эмиссии карт и ПИН-конвертов в соответствии с правилами платежной системы MasterCard. Спонсор имеет право контролировать соблюдение Банком правил платежной системы Visa при процедурах хранения, персонализации, уничтожения карт и ПИН-конвертов, а также управления криптографическими ключами для шифрования ПИН-кодов.
В случае использования Банком резервного способа персонализации:
3.1. Банк предоставляет Спонсору доверенности на сотрудников Банка, уполномоченных осуществлять: