W Y S T Ą P I E N I E



Podobne dokumenty
Karta MasterCard NFC - najczęściej zadawane pytania

Karty debetowe eurobanku: MasterCard Debit Visa Electron MasterCard Debit NFC płatności zbliżeniowe telefonem

Regulamin korzystania z kart płatniczych SGB w ramach cyfrowych aplikacji

elektroniczny środek płatniczy stanowiący narzędzie bieżącego dostępu do pieniędzy zgromadzonych na rachunku oszczędnościowo-rozliczeniowym,

Orange Cash. płatności zbliżeniowe w komórkach. Warszawa, 15 października 2012

Regulamin korzystania z kart płatniczych mbank S.A. w ramach Google Pay Obowiązuje od r.

Regulamin korzystania z kart płatniczych mbank S.A. w ramach Apple Pay. Obowiązuje od r.

Każdy z nas z pewnością nieraz znalazł się w sytuacji

Wykaz zmian wprowadzany w Regulaminie wydawania i użytkowania kart płatniczych w ING Banku Śląskim S.A. z dniem 3 kwietnia 2017 r.

Ale po co mi pieniądze?

PRZEWODNIK DLA DEBETOWYCH KART ZBLIŻENIOWYCH I PŁATNOŚCI MOBILNYCH

REGULAMIN DODAWANIA I UŻYTKOWANIA KART KREDYTOWYCH ING BANKU ŚLĄSKIEGO S.A. W RAMACH APPLE PAY

Zapłać telefonem za zakupy i za rachunki

Bezpieczeństwo Karty płatnicze w Systemach Komputerowych Karty płatnicze Karty płatnicze Skimming

Informacja o zmianach w UMOWIE O KARTĘ PŁATNICZĄ VISA. Informacja o zmianach w UMOWIE O KARTĘ PŁATNICZĄ VISA (TANDEM)

Regulamin dodawania i użytkowania kart ING Banku Śląskiego S.A. w ramach Apple Pay

REGULAMIN KORZYSTANIA Z KART PŁATNICZYCH BANKU POCZTOWEGO S.A. W RAMACH PORTFELI CYFROWYCH

Regulamin korzystania z kart płatniczych Santander Bank Polska w ramach cyfrowego portfela Google Pay

Często zadawane pytania / FAQ do usługi NFC Pass

Regulamin korzystania z kart płatniczych BZ WBK w ramach cyfrowego portfela Android Pay

WYKAZ ZMIAN W WARUNKACH KORZYSTANIA Z KARTY PKO JUNIOR

Inteligo. Rozwój projektu maj-listopad 2010

KARTY KREDYTOWE PRZEWODNIK PO PŁATNOŚCIACH ZBLIŻENIOWYCH I INTERNETOWYCH

Karta mobilna VISA debetowa karta HCE

Przewodnik po płatnościach zbliżeniowych. czyli jak szybko, wygodnie i bezpiecznie zapłacisz za drobne zakupy

Usługi mobilne w działalności bankowej. Magda Matuszewska, Adam Grabarczyk Bank Handlowy w Warszawie S.A.

KARTA NFC W TELEFONIE

elektroniczny środek płatniczy stanowiący narzędzie bieżącego dostępu do pieniędzy zgromadzonych na rachunku oszczędnościowo-rozliczeniowym,

Regulamin Promocji Mobilny maj

Regulamin Promocji. Rachunek mbiznes z mobilnym terminalem_dla obecnych klientów Obowiązuje od r. do r.

Ochrona prywatności. a r t u r. c i e s l i p o l i t y k a b e z p i e c z e n s t w a. c o m. p l

Jakie mamy rodzaje kart i do czego może służyć bankomat.

REGULAMIN W ZAKRESIE UŻYTKOWANIA KART KREDYTOWYCH ING BANKU ŚLĄSKIEGO S.A. W RAMACH KORZYSTANIA Z APLIKACJI GOOGLE PAY.

Dokument dotyczący opłat

Wykaz zmian w Regulaminie wydawania i używania kart debetowych Inteligo

Przewodnik po płatnościach zbliżeniowych. czyli jak szybko, wygodnie i bezpiecznie zapłacisz za drobne zakupy.

przewodnik po płatnościach internetowych dla użytkowników kart płatniczych wydanych przez Euro Bank S.A.

Słowniczek pojęć i definicji dotyczących usług reprezentatywnych powiązanych z rachunkiem płatniczym

Moduł do płatności mobilnych najprostszy sposób zatwierdzenia płatności w komórce

REGULAMIN SPRZEDAŻY PREMIOWEJ 2x więcej punktów na weekend. 1. Postanowienia ogólne

TARYFA PROWIZJI I OPŁAT ZA CZYNNOŚCI I USŁUGI BANKOWE W BANKU SPÓŁDZIELCZYM W LIPSKU WYKAZ ZMIAN

REGULAMIN SPRZEDAŻY PREMIOWEJ 500 punktów w sklepach RTVAGD. 1. Postanowienia ogólne

Regulamin Promocji. Rachunek mbiznes z mobilnym terminalem_dla obecnych klientów Obowiązuje od r. do r.

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Regulamin promocji Zarabiaj z ekontem mobilnym IV edycja

Dokument dotyczący opłat

REGULAMIN SPRZEDAŻY PREMIOWEJ Świąteczna promocja. 1. Postanowienia ogólne

Dokument dotyczący opłat

Warszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE KOMISJI NADZORU FINANSOWEGO. z dnia 21 czerwca 2013 r.

Szczegółowy wykaz zmian w dokumentach

Historia inna niż wszystkie. Przyszedł czas na banki

KOMISJA NADZORU FINANSOWEGO

Szczegółowy wykaz zmian w dokumentach

Dokument dotyczący opłat

Szczegółowy wykaz zmian w dokumentach

Często zadawane pytania / FAQ do usługi NFC Pass

REGULAMIN PROGRAMU LOJALNOŚCIOWO - RABATOWEGO PLUS STREFA DLA KLIENTÓW PODKARPACKIEGO BANKU SPÓŁDZIELCZEGO. Sanok, czerwiec 2016 r.

KDBS Bank. Płatności mobilne Blik

Regulamin Promocji Z mbankiem taniej na Allegro

Bezpieczeństwo Karty płatnicze w Systemach Komputerowych Karty płatnicze Karty płatnicze Skimming

ROZPORZĄDZENIE KOMISJI (UE) NR

NIEAUTORYZOWANE TRANSAKCJE ZASADY I GŁÓWNE PROBLEMY ANALIZA RZECZNIKA FINANSOWEGO

BLIK SYSTEM PŁATNOŚCI MOBILNYCH

INSTRUKCJA DO FORMULARZY Z ZAŁĄCZNIKÓW 1-2 DO ROZPORZĄDZENIA MINISTRA FINANSÓW Z DN. 15 PAŹDZIERNIKA 2014 R.

REGULAMIN SPRZEDAŻY PREMIOWEJ 3000 punktów Sygma Bonus za 4 transakcje kartą

KORZYSTANIA Z KART BANKU SPÓŁDZIELCZEGO W RZESZOWIE W RAMACH GOOGLE PAY

Dokument dotyczący opłat

Płatności mobilne i pieniądz elektroniczny - wyzwania prawne. Konferencja "Innowacyjne usługi płatnicze - prawo i technologia" Paweł Widawski

Regulamin promocji. Mastercard karta praktyczna i ładna

Migracja EMV czas na decyzje biznesowe

Regulamin promocji Zarabiaj z ekontem mobilnym III edycja

Płatności w e-biznesie. Regulacje prawne e-biznesu prof. Wiesław Czyżowicz & dr Aleksander Werner

Regulamin promocji. Mastercard więcej na wakacje. Poznań, czerwiec 2018 r.

Dobrzyca, dnia 28 czerwca 2018 roku. Szanowni Państwo,

Poniższa tabela przedstawia wykaz zmian w Regulaminie podstawowego rachunku płatniczego w PKO Banku Polskim SA (dalej Regulamin PRP).

Załącznik do Uchwały Zarządu 22/2019 z dnia 26 marca 2019r. REGULAMIN KORZYSTANIA Z KART BANKU SPÓŁDZIELCZEGO W ŁOCHOWIE W RAMACH GOOGLE PAY

System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie

Bank Spółdzielczy w Gryfinie

R A P O R T BANKOWOŚD INTERNETOWA I PŁATNOŚCI BEZGOTÓWKOWE IV KWARTAŁ 2015 R.

Regulamin Sprzedaży Premiowej Bilety do kina za transakcje kartą. 1 Postanowienia ogólne. 2 Definicje

MobileMerchant firmy Elavon Najczęstsze pytania

Dokument dotyczący opłat

Szczegółowe warunki obsługi Konta Inteligo w kanale mobilnym IKO w Powszechnej Kasie Oszczędności Banku Polskim SA

Rozpoczynamy pracę nad stworzeniem wspólnego krajowego standardu płatności mobilnych

Regulamin Pilotażu Karta walutowa dla Twojej firmy. Obowiązuje od r. do r.

Dokument dotyczący opłat

WYKAZ NAJWAŻNIEJSZYCH ZMIAN (wprowadzanych z dniem połączenia działalności operacyjnej Alior Banku i Meritum Banku)

Niniejszy dokument zawiera Zasady premiowania CashBack i inne promocje dla poszczególnych rodzajów kart płatniczych. obowiązujące:

DOKUMENT DOTYCZĄCY OPŁAT

SYSTEM PŁATNOŚCI MOBILNYCH

Analiza poziomu bezpieczeństwa kart zbliżeniowych z punktu widzenia ich posiadaczy Urząd Komisji Nadzoru Finansowego

DECYZJA. odmawiam uwzględnienia wniosku.

Bezpieczna bankowość efirma24

(dotyczy usług Raiffeisen Polbank w ramach działalności przejętej przez Bank BGŻ BNP Paribas S.A.)

Transkrypt:

GENERALNY INSPEKTORA OCHRONY DANYCH OSOBOWYCH Dr Wojciech R. Wiewiórowski Warszawa, dnia 29 marca 2013 r. GI-035-3/13 Pan Andrzej Jakubiak Przewodniczący Komisji Nadzoru Finansowego Plac Powstańców Warszawy 1 00-950 Warszawa W Y S T Ą P I E N I E Działając na podstawie art. 19a ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.), zwanej dalej ustawą o ochronie danych osobowych, zgodnie z którym w celu realizacji zadań, o których mowa w art. 12 pkt. 6, Generalny Inspektor może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych, uprzejmie proszę Pana Przewodniczącego o podjęcie działań mających na celu ocenę zagrożeń prawnych i faktycznych spowodowanych wprowadzaniem przez instytucje bankowe kart płatniczych wyposażanych w moduły płatności zbliżeniowych, podczas gdy technologia ta budzi wiele wątpliwości w zakresie dotyczącym bezpieczeństwa przetwarzanych przy jej zastosowaniu danych. W szczególności proszę Pana Przewodniczącego o: przeprowadzenie analizy wpływu zastosowanych rozwiązań wykorzystujących technologię kart zbliżeniowych na ochronę danych osobowych w poszczególnych 1

zastosowaniach wykonaną zgodnie z zaleceniami środowiska producentów kart wyposażonych w moduł RFID, o której mowa w opinii 9/2011 Grupy Roboczej Art. 29 na temat zmienionej propozycji sektora w sprawie ram oceny skutków w zakresie ochrony danych i prywatności w zastosowaniach RFID oraz przeprowadzenie analizy zgodności z rekomendacjami zawartymi w znowelizowanej Rekomendacji D dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach przyjętej w dniu 8 stycznia 2013 r. przez Komisja Nadzoru Finansowego. Generalny Inspektor Ochrony Danych Osobowych z dużym niepokojem śledzi przekazywane w prasie i mediach elektronicznych informacje na temat możliwości nieuprawnionego pozyskania danych osobowych właścicieli kart płatniczych wyposażonych w technologię NFC stanowiącą odmianę technologii RFID o ograniczonym do niewielkich odległości zasięgu oraz możliwościach jednoczesnego odbioru i nadawana sygnałów, co czyni ją bardziej odporną na kolizje 1. Moduły NFC stosowane w kartach płatniczych są modułami pasywnymi, a odczytywane z nich lub zapisywane na nich dane nie są zabezpieczane kryptograficznie co stanowić może potencjalne źródło nieuprawnionego dostępu do danych lub nieuprawnionej ingerencji w ich treść. W serwisach internetowych poświęconych bezpieczeństwu informacyjnemu 2,3 pojawiło się szereg informacji o możliwości odczytu danych z takich kart przez nieuprawnione osoby, a nawet o możliwościach ich sklonowania przez nieuprawnione osoby a nastepnie użycia tych klonów do wykonania płatności za zakupy. Potwierdzeniem takiej podatności na ataki są prezentowane nagrania wideo, na których pokazuje się, że przy użyciu czytnika, z kart płatniczych wyposażonych w moduł RFID można odczytać wiele z zapisanych na niej danych z odległości około 10 cm od karty. Jednocześnie pojawiają się informacje o wprowadzaniu przez podmioty rynkowe rozwiązaniach polegających na integracji kart płatniczych z kartami SIM do telefonów komórkowych, umożliwiających wykonywanie transakcji płatniczych poprzez zbliżenie telefonu komórkowego do czytnika. Jest to możliwe przy użyciu telefonów wyposażonych w technologię NFC. Świadczenie takich usług rozpoczynają w Polsce operator telefonii komórkowej Orange we 1 Ekta Desai, Mary Grace Shajan, A Review on the Operating Modes of Near Field Communication in International Journal of Engineering and Advanced Technology (IJEAT) ISSN: 2249 8958, Volume-2, Issue-2, December 2012, http://www.ijeat.org/attachments/file/v2i2/b0956112212.pdf. 2 Marcin Chmielewski Internetowi sprzedawcy oferują klonowanie kart zbliżeniowych, teks dostępny jest na: http://www.chip.pl/news/bezpieczenstwo/technologie-bezpieczenstwa/2011/12/internetowi-sprzedawcy-oferujaklonowanie-kart-zblizeniowych 3 Vi. Curry, Odczytywanie zbliżeniowych kart kredytowych (RFID), teks dostępny jest na: http://niebezpiecznik.pl/post/klonowanie-zblizeniowych-kart-kredytowych-rfid/ 2

współpracy z MasterCard i mbankiem 4 oraz operator telefonii komórkowej T-Mobile we współpracy z mbankiem (usługa MyWallet) 5. Zastosowanie telefonów wyposażonych w technologię NFC, jak donoszą media daje ponadto nieograniczone możliwość wydłużenia odległości z jakiej terminal może odczytać dane z karty zbliżeniowej nieświadomego płatnika 6. Używając 2 telefonów wyposażonych w technologię NFC z odpowiednimi aplikacjami, osoba A może wówczas zapłacić za swoje zakupy kartą zbliżeniową przypadkowej osoby w autobusie lub innym zatłoczonym miejscu, u której osoba B współpracująca z osoba A wykryła kartę płatniczą. Zainstalowana w telefonie osoby A aplikacja połączona przed wykonaniem płatności z telefonem osoby B spowoduje, że do płatności wykorzystane zostaną dane z karty zbliżeniowej, którą widzi telefon osoby B. Z informacji podanej przez Grupę Roboczą ds. Technologii przy Federalnym Rzeczniku Ochrony Danych oraz Rzecznikach Landowych Republiki Federalnej Niemiec, wynika, że na stosowanych w Niemczech kartach płatniczych mogą być zapamiętywane logi kilku ostatnich transakcji ładowania/rozładowania karty oraz informacje o wykonanych w ostatnim okresie co najmniej 15 transakcjach płatniczych, zawierające takie dane jak: czas wykonania transakcji, numer karty sprzedawcy (retailer credit card), kwota transakcji oraz pozostała kwota wolnych środków. Wymienione dane, jak wynika z raportu wspomnianej Grupy Roboczej można odczytać z karty debetowej klienta wyposażonej w moduł płatności zbliżeniowej bez żadnych dodatkowych autoryzacji przez jej posiadacza. Ponadto jak wynika z sygnalizowanych przez posiadaczy tych kart opisów zdarzeń, transakcje wykonywane tymi kartami są realizowane w trybie offline, co powoduje, że wprowadzone przez wydające je instytucje ograniczenia limitu dziennych transakcji dla kwot poniżej 50 zł, dla których płatności realizowane są bez autoryzacji, nie są skuteczne 7,8,9. Opisy te wskazują, że istnieje sprzeczność między wyjaśnieniami banków 10 dotyczącymi limitów transakcji, w których zapewnia się klientów o bezpieczeństwie kart zbliżeniowych, w tym ustanowionych limitach transakcji, a istniejącą rzeczywistością. 4 Aleksandra Stanisławska, teks dostępny jest na: http://www.ekonomia24.pl/artykul/942578.html 5 Paweł Krzyżanowski, teks dostępny jest na: http://www.komputerswiat.pl/nowosci/wydarzenia/2012/45/t-mobilemywallet-od-dzis-dla-klientow-mbanku.aspx 6 Niebezpiecznik.pl, Uniwersalny atak na karty zbliżeniowe, teks dostępny jest na: http://niebezpiecznik.pl/post/uniwersalny-atak-na-karty-zblizeniowe/?more 7 Polacy wrobieni w karty zbliżeniowe. To raj dla złodziei, teks dostępny jest na: http://www.sfora.biz/polacy-wrobieniw-karty-zblizeniowe-to-raj-dla-zlodziei-a52687 8 Maciej Samcik, Kradzież bezdotykowa. Czy karty zbliżeniowe są dobrze zabezpieczone, teks dostępny jest na: http://wyborcza.biz/finanse/1,105684,13417209,kradziez_bezdotykowa Czy_karty_zblizeniowe_sa_dobrze.html#M T 9 Maciej Samcik, Kradzieże z kart zbliżeniowych możliwe dlatego, że banki... chciały przyoszczędzić?, teks dostępny jest na: http://samcik.blox.pl/2013/02/kradzieze-z-kart-zblizeniowych-mozliwe-dlatego-ze.html 10 Maciej Kielczarek, Bezpieczeństwo kart zbliżeniowych, teks dostępny jest na: http://www.mbank.pl/porozmawiajmy/blog/artykul,1109,bezpieczenstwo-kart-zblizeniowych.html 3

Z powyższego wynika, że wprowadzana powszechnie przez instytucje finansowe technologia kart zbliżeniowych nie jest wystarczająco dopracowana zarówno technologicznie jak i organizacyjnie i wymaga dokładnej analizy, o czym ostrzegała Komisja Europejska wydając w dniu 12 maja 2009 r. zalecenie w sprawie wdrożenia zasad ochrony prywatności i ochrony danych w zastosowaniach wspieranych identyfikacją radiową 11. Wymienione właściwości kart płatniczych wyposażonych w funkcje płatności zbliżeniowych sprawiają, że dane dotyczące jej posiadacza mogą być przetwarzane z naruszeniem zasad bezpieczeństwa danych osobowych wynikających z obowiązujących przepisów prawa, w tym ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst jednolity: Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.). Na uwagę zasługuje w szczególności fakt wykorzystywania w tych kartach technologii RFID, dla której, w przypadku jej zastosowania, Komisja Europejska zaleciła przeprowadzanie analizy wpływu wprowadzanych rozwiązań na ochronę prywatności, o czym wspomniano wyżej 11. W zaleceniu tym Komisja wprowadziła wymóg zatwierdzenia przez Grupę Roboczą ds. Ochrony Danych ustanowioną na mocy art. 29 Dyrektywy 95/46/WE, zwaną dalej Grupa Roboczą Art 29, opracowanych przez sektor ram oceny skutków w zakresie ochrony danych osobowych i prywatności w zastosowaniach RFID. Dokument taki o nazwie Ramy oceny skutków w zakresie ochrony danych i prywatności w zastosowaniach RFID, został przez sektor producentów i dostawców technologii RFID opracowany i zatwierdzony przez ww. Grupę Roboczą Art. 29 12 w dniu 11 lutego 2011 r. Dokument ten dostępny jest w polskiej wersji językowej na stronie internetowej pod adresem: http://ec.europa.eu/information_society/policy/rfid/documents/pia-pl.pdf. Zgodnie z opinią Grupy Roboczej. Art. 29 nr 9/2011 na temat zmienionej propozycji sektora w sprawie ram oceny skutków w zakresie ochrony danych i prywatności w zastosowaniach RFID, dokument ten powinien stać się skuteczny nie później niż po okresie 6 miesięcy od jego opublikowania, czyli nie później niż od 12 lutego 2012 r. Zagrożenia ochrony danych osobowych w związku z wprowadzeniem do stosowania przez instytucje finansowe kart kredytowych i/lub debetowych wyposażonych w moduł płatności zbliżeniowych jak wynika ze wskazanych we wstępie informacji należy rozważyć w dwóch następujących kategoriach: 11 Dziennik Urzędowy Unii Europejskiej L 122/47: http://eurlex.europa.eu/lexuriserv/lexuriserv.do?uri=oj:l:2009:122:0047:0051:pl:pdf 12 Opinia 9/2011 na temat zmienionej propozycji sektora w sprawie ram oceny skutków w zakresie ochrony danych i prywatności w zastosowaniach RFID Przyjęta w dniu 11 lutego 2011 r. http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp180_pl.pdf 4

1. możliwości nieuprawnionego ujawnienia danych osobowych posiadaczy kart zbliżeniowych w zakresie: imienia, nazwiska, numeru karty kredytowej, daty jej wydania, a w niektórych przypadkach również informacje o kilku ostatnio dokonanych transakcjach, oraz 2. możliwości narażenia posiadaczy kart zbliżeniowych na straty finansowe w przypadku jej zagubienia, kradzieży lub stania się ofiarą zorganizowanego przestępstwa wykorzystującego możliwości opisane na portalu niebezpiecznik.pl w artykule pod adresem: http://niebezpiecznik.pl/post/uniwersalny-atak-na-karty-zblizeniowe/ Z publikowanych właściwości kart płatniczych wyposażanych w moduły płatności zbliżeniowych oraz stosowanych powszechnie systemów płatności wyposażonych w czytniki kart zbliżeniowych wynika, że zarówno odczyt danych dotyczących uprawnionego posiadacza takiej karty, jak i wykonanie transakcji płatniczej przy jej użyciu, jeżeli kwota transakcji nie przekracza określonej wielkości np. 50 lub 100 zł. możliwy jest bez żadnej autoryzacji jej posiadacza. Opisano ponadto scenariusze, które pokazują, że odczyt danych dotyczących właściciela takiej karty płatniczej, a nawet wykonanie transakcji przy jej użyciu na kwotę nie przekraczającą wyznaczonego przez bank limitu, może być wykonane bez wiedzy i zgody osoby będącej jej właścicielem. Przy czym operacje, o których mowa mogą być wykonane nawet wtedy, gdy uprawniony właściciel karty nadal jest w jej posiadaniu i cały czas stosował się do zaleceń w zakresie bezpieczeństwa ich wykorzystywania wydawanych przez banki. Zastosowane w systemach wykorzystujących zbliżeniowe karty płatnicze techniczne i organizacyjne rozwiązania mające na celu zapewnienie weryfikacji tożsamości posługujących się nimi osób, jak również rozwiązania dotyczące bezpieczeństwa danych oraz środków klientów uprawnionych posiadaczy tych kart - nie spełniają w opinii GIODO wymagań wskazanych w znowelizowanej Rekomendacji D dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach przyjętej w dniu 8 stycznia 2013 r. przez Komisja Nadzoru Finansowego 13. Zastosowane w systemach płatności kartami zbliżeniowymi rozwiązania nie są zgodne w szczególności z rekomendacjami 16.1 i 16.4 ww. dokumentu odnoszącymi się odpowiednio do weryfikacji tożsamości uczestników transakcji i uniemożliwiania nieuprawnionego dostępu do danych, w tym minimalizacji prawdopodobieństwa przypadkowego zainicjowania transakcji przez upoważnionych użytkowników. Opisane incydenty i zagrożenia pozwalają również na stwierdzenie, że nie w pełni wykonane zostały zalecenia zawarte w rekomendacji 18.7 odnoszącej się do wdrożenia nowych technologii (w tym płatności wykorzystujących komunikację bliskiego zasięgu oraz bankowości mobilnej) oraz rekomendacji 13 Komisja Nadzoru Finansowego, Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, http://www.knf.gov.pl/images/rekomendacja_d_8_01_13_tcm75-33016.pdf 5

21.1 odnoszącej się do zapewnienia zgodność funkcjonowania obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego banków z wymaganiami prawnymi, w tym wymaganiami ustawy o ochronie danych osobowych. Jednocześnie, proszę Pana Przewodniczącego o udzielenie odpowiedzi w przedmiotowej sprawie w terminie 30 dni od daty otrzymania niniejszego wystąpienia, albowiem art. 19a ust. 3 ustawy o ochronie danych osobowych stanowi, że podmiot, do którego zostało skierowane wystąpienie lub wniosek, o których mowa w ust. 1 i 2, jest obowiązany ustosunkować się do tego wystąpienia lub wniosku na piśmie w terminie 30 dni od daty jego otrzymania. Informuję przy tym, iż treść niniejszego wystąpienia wraz z udzieloną odpowiedzią opublikowane będą na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych www.giodo.gov.pl. Do wiadomości: 1. Pan Krzysztof Pietraszkiewicz Prezes Związku Banków Polskich, ul. Kruczkowskiego 8, 00-380 Warszawa 6

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres