Въведени са нови правила за сигурност на данните за системата за обработка на плащания в САЩ

Нови правила за сигурност на данните уреждащи начина, по който парите сменят ръцете си в САЩ са влезли в сила днес, принуждавайки големите процесори за дигитални пари да направят информацията за депозитната сметка нечетлива в електронно съхранение.

Националната асоциация на автоматизираните клирингови служби (NACHA), органът, който е приел правилата, управлява мрежата ACH, платежната система, която управлява директни депозити и директни плащания за почти всички банкови и кредитни съюзи в САЩ. Националната автоматизирана клирингова къща обработва огромни суми на кредитни и дебитни транзакции в САЩ и обработва финансови транзакции за потребители, предприятия и федерални, щатски и местни правителства.

От 30 юни, ако номерът на акаунта се използва за всяко плащане с ACH – потребителско или корпоративно – той трябва да бъде направен нечетим, докато се съхранява по електронен път, според NACHA, която добави, че всяко място, където се съхраняват номера на сметки, свързани с записи в ACH, е в обхвата на правилото.

“Това включва системи, на които разрешенията се получават или съхраняват по електронен път, както и бази данни или системни платформи, които поддържат записи на ACH. Като пример за доставчик на услуги на трети страни, чийто клиент е финансова институция, те могат да включват платформи, които обслужват ACH складиране и осчетоводяване на транзакции и системи за отчитане на информация за клиенти “, обясниха от NACHA.

„За инициаторите и техните доставчици на услуги от трети страни ще бъдат засегнати задълженията по сметките и вземанията по сметки, както и други системи (например системи за управление на искове за застрахователни компании).“

Правилото се прилага и за разрешения на хартиен носител или други документи, съдържащи номера на акаунти в ACH, които се сканират за електронно съхранение и съхранение на записи.

През 2020 г. бяха извършени почти 27 милиарда плащания в мрежата на ACH на стойност близо 62 трилиона долара. Тялото обработено 17,3 трилиона долара само за първото тримесечие на 2021 година и управлява 110-те милиона плащания за икономическо въздействие, получени чрез директен депозит от федералното правителство.

ACH мрежата нарасна значително през годините и постави рекорд през февруари когато средно над 118 милиона плащания на ден. Той постави нов рекорд през март, когато обемът на ACH достигна 2,7 милиарда плащания, най-големият му месечен обем досега.

За да запази данните, които преминават през системата, в безопасност и сигурност, Nacha изисква от създателите на ACH и трети страни, които обработват над 6 милиона плащания за ACH годишно, да направят информацията за депозитната сметка нечетлива в електронно съхранение.

Той предлага на организациите да направят това, като използват криптиране, съкращаване, токенизация, унищожаване или разполагат с финансова институция, която съхранява, приема или токенизира номерата на сметките.

Първата фаза на новите правила влезе в сила на 30 юни, но втората фаза, която обхваща тези с обем ACH от 2 милиона транзакции или повече годишно, ще влезе в сила на 30 юни 2022 година.

Принудените да направят промените първоначално поискаха удължаване през 2020 г. и получиха разрешение. NACHA също заяви, че няма да прилага правилото “за допълнителен период от една година от датата на влизане в сила по отношение на обхванатите субекти, които работят добросъвестно за спазване, но които изискват допълнително време за прилагане на решения.”

“Новото изискване се отнася за оригинатори, които не са потребители, които не участват в депозитарните финансови институции (както е определено от Правилата за работа на Nacha), както и за трети изпращачи и доставчици на трети страни, които изпълняват каквато и да е функция за обработка на ACH от името на Оригинатор, изпращач от трета страна, ODFI, RDFI или ACH оператор “, се казва в изявление на NACHA.

„Финансовите институции не са включени в обхвата на новото изискване да направят номерата на сметките на ACH нечетливи, когато се съхраняват по електронен път, тъй като те вече са обект на строги изисквания за сигурност на данните, наложени от техните регулатори.“

NACHA отбеляза, че контролите за достъп, като пароли, не отговарят на новия стандарт. Криптирането на диска е приемлив метод за защита само ако се предприемат допълнителни, предписани физически мерки за сигурност, добави организацията.

Алекс Пезолд, главен изпълнителен директор на TokenEx, заяви, че наскоро компанията му е посочена като предпочитан партньор на NACHA за сигурност на данните в ACH и в момента работи с организации, за да се съобрази с новите правила.

„Що се отнася до данните за ACH, ние правим информацията за депозитната сметка (обикновено банкови сметки и номера за маршрутизация) нечетлива чрез токенизация, което е примерна технология, на която се позовава NACHA, за да отговори на това ново изискване“, каза Пезолд пред ZDNet.

“Това заменя информацията за депозитната сметка с необратим знак, който може безопасно да се съхранява на мястото на оригиналния номер, за да се предотврати кражба на данни в случай на експозиция. Мотивацията за тази промяна е да надгради съществуващите изисквания за подобряване на сигурността и ефективността на мрежата ACH чрез въвеждане на специфични стандарти за защита на информацията за депозитна сметка, съхранявана от създатели, доставчици на услуги от трети страни и изпращачи от трети страни. “

Пезолд добави, че все още не е ясно какви ще бъдат конкретните глоби или наказания, но ако настъпи грубо нарушение – умишлено или необмислено действие, което включва поне 500 вписвания или включва множество вписвания в общата сума от поне 500 000 долара – може ще доведе до глоба в размер на 500 000 щ. д. и спиране на използването на мрежата ACH.

Някои експерти по киберсигурност, като утешителния продуктов мениджър на AG Тревор Морган, казаха, че най-добрият начин да се спази това правило е чрез криптиране или токенизация.

Според него новите правила принуждават организациите да знаят точно данните, с които се работи, включително информацията за акаунта в ACH, както и къде се съхранява, как пътува и кой има достъп до нея.

“Пълното решение на този проблем би довело не само до метод за защита като токенизация, но и до по-широка възможност за намиране и класифициране на този тип информация. Не предполагайте, че знаете къде са всички ваши чувствителни ACH данни!” – каза Морган.

Оливър Таваколи, технически директор на Vectra, каза, че подобни правила се прилагат за банките и други финансови институции от дълго време, но сега те се прилагат за мащабни потребители на банкови услуги.

Предложените от Tavakoli организации или избират да не пазят данните изобщо, или да имат финансови институции, които вече са създадени, за да ги защитят. Предприятията могат също да шифроват данните, преди да ги съхраняват, да съкратят данните, като запазят само последните 4 цифри от номер на акаунт или да скрият информацията по някакъв друг начин.

Твърде често данните се съхраняват в ясен текст, което прави новите правила, прокарани от NACHA, все по-важни, според Dirk Schrader, вицепрезидент на New Net Technologies.

“Прилагането на това изискване вероятно ще бъде проблем за някои финансови институции, в зависимост от техните модели на данни”, каза Шрадер. „Едно решение може да се основава на HSM, разтоварвайки голяма част от работата по криптиране към специализиран хардуер.“

Други експерти заявиха, че на NACHA е отнело твърде много време, за да въведе правила като това. Съветникът по разузнаването на заплахите Netenrich Джон Бамбенек каза, че транзакциите с ACH са възможни просто като се знае информацията за акаунта на дадено лице.

„Фактът, че е 2021 г. и едва сега се изисква основна сигурност на процесорите на тази информация, просто показва колко наистина несигурни са нашите системи за финансови транзакции“, каза Бамбенек.

“Може би това вече се изисква от закона и наредбите от години, но това трябва да бъде повторено, показва, че много компании, обработващи големи количества финансови транзакции, са ангажирани да не правят абсолютно нищо, за да защитят потребителите, докато не бъдат принудени.”

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com