Требования к обеспечению защиты информации, применяемые в отношении приложения клиента
1. Участник платформы для обеспечения безопасности приложения клиента должен выполнять следующие требования к процессу разработки, тестирования и эксплуатации приложения клиента:
иметь документированный процесс разработки, тестирования и эксплуатации приложения клиента, включая описания реализуемых мер, контролей и проверок по обеспечению защиты информации, а также процесс управления версиями и изменениями программного обеспечения, реализующего приложение клиента;
применять меры защиты информации в соответствии с подпунктами 4.1 и 4.2 пункта 4 настоящего Положения для объектов информационной инфраструктуры, с использованием которых обеспечиваются эксплуатация и функционирование приложения клиента.
2. Участник платформы должен выполнять следующие требования к безопасности приложения клиента:
реализовать механизм доставки пользователю платформы цифрового рубля уведомлений об операциях с цифровыми рублями;
реализовать механизм обработки ошибок и (или) исключений, возникающих в процессе работы приложения клиента, в рамках которого обеспечиваются корректная обработка и информирование пользователя платформы цифрового рубля об ошибках, в том числе о сбоях при подключении к приложению клиента, недоступности приложения клиента;
реализовать механизм проверки корректности данных, вводимых пользователем платформы цифрового рубля в приложении клиента;
регистрировать события защиты информации (в том числе события, связанные с неуспешной аутентификацией и авторизацией, ошибками при управлении доступом и проверке входных данных) при функционировании приложения клиента;
реализовать механизм незамедлительной блокировки и последующего досрочного прекращения действия или аннулирования сертификата ключа проверки электронной подписи пользователя платформы цифрового рубля в случае компрометации ключа электронной подписи;
досрочно прекратить действие сертификата ключа проверки электронной подписи пользователя платформы цифрового рубля - юридического лица и сменить аутентификационные данные для доступа пользователя платформы цифрового рубля - юридического лица к приложению клиента при обращении пользователя платформы цифрового рубля - юридического лица к участнику платформы.
3. Участник платформы вправе принимать организационно-технические меры, направленные на соответствие требованиям к безопасности мобильного приложения, в том числе в части наличия возможности:
реализации механизма информирования пользователя платформы цифрового рубля о необходимости применения обновлений мобильного приложения, связанных с обеспечением защиты информации;
реализации альтернативных способов обновления и (или) установки мобильного приложения в случае наличия ограничений обновления и (или) установки мобильного приложения из основного источника;
реализации механизма, исключающего возможность использования сторонних программных средств ввода и отключения механизма регистрации истории ввода при вводе данных пользователя платформы цифрового рубля, в том числе аутентификационных данных пользователя платформы цифрового рубля;
обеспечения контроля целостности прикладного программного обеспечения и контроля среды его функционирования при запуске мобильного приложения до момента обращения пользователя платформы цифрового рубля к его функционалу;
реализации механизма блокировки доступа к мобильному приложению при неоднократных неуспешных попытках аутентификации.
Электронный текст документа
подготовлен АО "Кодекс" и сверен по:
официальный сайт Банка России
www.cbr.ru, 29.12.2023