Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Uregulowania prawne dotyczące bezpieczeństwa systemów bankowych

OpublikowałBłažej Kara Został zmieniony 10 lat temu

Podobne prezentacje

Prezentacja na temat: "Uregulowania prawne dotyczące bezpieczeństwa systemów bankowych"— Zapis prezentacji:

1 Uregulowania prawne dotyczące bezpieczeństwa systemów bankowych
Prof. Mirosław Kutyłowski WPPT, Politechnika Wrocławska

2 Mirosław Kutyłowski, CBKE, 2004
Skala trudności tempo zmian stopień skomplikowania interdyscyplinarność Mirosław Kutyłowski, CBKE, 2004

3 Mirosław Kutyłowski, CBKE, 2004
Skala trudności tempo zmian podział ról w zakresie stosowania podpisu elektronicznego: X.509 → Dyrektywa UE, ustawy krajowe SPKI → nie adekwatne do systemu prawnego UE funkcjonalność, niskie koszty, ochrona prywatności Mirosław Kutyłowski, CBKE, 2004

4 Mirosław Kutyłowski, CBKE, 2004
Skala trudności stopień skomplikowania cyfrowe odciski palców (funkcje hashujące, funkcje skrótu), MD5, SHA-1, RIPEMD-160, … Co oznacza „bezkonfliktowość”? Mirosław Kutyłowski, CBKE, 2004

5 Mirosław Kutyłowski, CBKE, 2004
Skala trudności stopień skomplikowania cyfrowe odciski palców (funkcje hashujące, funkcje skrótu), MD5, SHA-1, RIPEMD-160, … Co oznacza „bezkonfliktowość”? dwa dokumenty nie posiadają tego samego „odcisku” dla danego „odcisku” nie można stwierdzić z czego został utworzony (jednokierunkowość) Nie można znaleźć dwóch dokumentów o tym samym „odcisku” Mirosław Kutyłowski, CBKE, 2004

6 Mirosław Kutyłowski, CBKE, 2004
Skala trudności stopień skomplikowania cyfrowe odciski palców (funkcje hashujące, funkcje skrótu), MD5, SHA-1, RIPEMD-160, … Co oznacza „bezkonfliktowość”? dwa dokumenty nie posiadają tego samego „odcisku” dla danego „odcisku” nie można stwierdzić z czego został utworzony (jednokierunkowość) Nie można znaleźć dwóch dokumentów o tym samym „odcisku” Wszystko źle! Mirosław Kutyłowski, CBKE, 2004

7 Mirosław Kutyłowski, CBKE, 2004
Skala trudności interdyscyplinarność Umiejscowienie prawne musi de facto być zintegrowane ze specyfikacją systemu teleinformatycznego. Weryfikacja systemu teleinformatycznego musi obejmować zagadnienia prawne. Mirosław Kutyłowski, CBKE, 2004

8 Aspekty socjologiczne
Bezpieczeństwo systemów teleinformatycznych musi mieć korzenie socjologiczne złe doświadczenia z systemem haseł konieczność analogii ze światem nieelektronicznym trudne do wytłumaczenia zjawiska Mirosław Kutyłowski, CBKE, 2004

9 Aspekty socjologiczne
Bezpieczeństwo systemów teleinformatycznych musi mieć korzenie socjologiczne złe doświadczenia z systemem haseł konieczność analogii ze światem nieelektronicznym trudne do wytłumaczenia zjawiska Potoczne rozumienie regulacji Mirosław Kutyłowski, CBKE, 2004

10 Neutralność technologiczna
regulacje prawne powinny być stabilne i obowiązywać długo wiązanie regulacji z technologią to wymuszanie zacofania Mirosław Kutyłowski, CBKE, 2004

11 Neutralność technologiczna
regulacje prawne powinny być stabilne i obowiązywać długo wiązanie regulacji z technologią to wymuszanie zacofania Koncepcja: regulacje prawne nie mają opisywać jak system teleinformatyczny działa Mirosław Kutyłowski, CBKE, 2004

12 Neutralność technologiczna
regulacje prawne powinny być stabilne i obowiązywać długo wiązanie regulacji z technologią to wymuszanie zacofania Koncepcja: regulacje prawne nie mają opisywać jak system teleinformatyczny działa mają określać jakie cechy systemy muszą spełniać Mirosław Kutyłowski, CBKE, 2004

13 Strona odpowiedzialna
Określenie kto za co odpowiada ma podstawowe znaczenie dla architektury teleinformatycznego systemu finansowego Słaba wiedza i pozycja klienta wobec instytucji finansowych Inwestycje w infrastrukturę bezpieczeństwa muszą być uzasadnione rachunkiem ekonomicznym Mirosław Kutyłowski, CBKE, 2004

14 Strona odpowiedzialna
Określenie kto za co odpowiada ma podstawowe znaczenie dla architektury systemu finansowego Słaba wiedza i pozycja klienta wobec instytucji finansowych Inwestycje w infrastrukturę bezpieczeństwa muszą być uzasadnione rachunkiem ekonomicznym Koncepcja: ograniczyć prawnie zakres odpowiedzialności klienta Mirosław Kutyłowski, CBKE, 2004

15 Mirosław Kutyłowski, CBKE, 2004
Specyfika bankowa ograniczony horyzont czasowy postulowana bezawaryjność wirtualność banku -- wartością są dane i niezawodność działania Mirosław Kutyłowski, CBKE, 2004

16 Nienadążanie za technologią
Rozporządzenie Min. Fin. z 11 sierpnia dot. opłat skarbowych elektroniczny dowód wpłaty musi być opatrzony bezpiecznym podpisem elektronicznym podanie wniesione drogą elektroniczną musi być wydrukowane, musi być nalepiony znaczek, musi być wydrukowany elektroniczny dowód wpłaty wraz z podpisem elektronicznym Mirosław Kutyłowski, CBKE, 2004

17 Nienadążanie za technologią
Rozporządzenie Min. Fin. z 11 sierpnia dot. opłat skarbowych elektroniczny dowód wpłaty musi być opatrzony bezpiecznym podpisem elektronicznym podanie wniesione drogą elektroniczną musi być wydrukowane, musi być nalepiony znaczek, musi być wydrukowany elektroniczny dowód wpłaty wraz z podpisem elektronicznym Mirosław Kutyłowski, CBKE, 2004

18 Nienadążanie za technologią
Rozporządzenie Min. Fin. z 11 sierpnia dot. opłat skarbowych elektroniczny dowód wpłaty musi być opatrzony bezpiecznym podpisem elektronicznym podanie wniesione drogą elektroniczną musi być wydrukowane, musi być nalepiony znaczek, musi być wydrukowany elektroniczny dowód wpłaty wraz z podpisem elektronicznym De facto- rozporządzenie uniemożliwia stosowanie bezpiecznej i taniej technologii Mirosław Kutyłowski, CBKE, 2004

19 Ustawa o elektronicznych instrumentach płatniczych, 2002
zmiany w kierunku harmonizacji z UE, implementacja Dyrektywy UE zmiana koncepcji w kierunku ograniczenia odpowiedzialności klienta Rozdział 4: Usługi bankowości elektronicznej (nie występuje w Dyrektywie) Mirosław Kutyłowski, CBKE, 2004

20 Ustawa o elektronicznych instrumentach płatniczych, 2002
zmiany w kierunku harmonizacji z UE, implementacja Dyrektywy UE zmiana koncepcji w kierunku ograniczenia odpowiedzialności klienta Rozdział 4: Usługi bankowości elektronicznej (nie występuje w Dyrektywie) diabeł tkwi w szczegółach Mirosław Kutyłowski, CBKE, 2004

21 Mirosław Kutyłowski, CBKE, 2004
Art. 31 Bank, świadcząc usługi na podstawie umowy o usługi bankowości elektronicznej, obowiązany jest do: zapewnienia posiadaczowi bezpieczeństwa dokonywania operacji, z zachowaniem należytej staranności oraz przy wykorzystaniu właściwych rozwiązań technicznych, 3) niezwłocznego poinformowania o odmowie lub braku możliwości wykonania zleconej operacji z przyczyn niezależnych od banku. Mirosław Kutyłowski, CBKE, 2004

22 Mirosław Kutyłowski, CBKE, 2004
Koncepcja Bank ma zapewnić bezpieczeństwo i nie może zrzucić odpowiedzialności na klienta. ale w granicach rozsądku ekonomicznego: z zachowaniem należytej staranności oraz przy wykorzystaniu właściwych rozwiązań technicznych, Mirosław Kutyłowski, CBKE, 2004

23 Mirosław Kutyłowski, CBKE, 2004
art. 32 1. Posiadacz jest obowiązany do nieujawniania informacji o działaniu elektronicznego instrumentu płatniczego udostępnionego w ramach umowy o usługi bankowości elektronicznej, których ujawnienie może spowodować brak skuteczności mechanizmów zapewniających bezpieczeństwo zlecanych operacji. 2. Posiadacza obciążają operacje dokonane przez osoby, którym udostępnił informacje, o których mowa w ust. 1. Przepisy art. 28 stosuje się odpowiednio. Mirosław Kutyłowski, CBKE, 2004

24 Mirosław Kutyłowski, CBKE, 2004
Intencje Przeciwdziałanie udostępnianiu haseł, PIN-ów, haseł jednorazowych … (instrumenty uwierzytelniania oparte na WIEDZY posiadacza) Ujawnienie tych informacji – konsekwencje finansowe ponosi ujawniający. Mirosław Kutyłowski, CBKE, 2004

25 Mirosław Kutyłowski, CBKE, 2004
Druga strona medalu Banki właściwie nigdy nie przyznają się, że ich systemy posiadają luki. Mirosław Kutyłowski, CBKE, 2004

26 Mirosław Kutyłowski, CBKE, 2004
Druga strona medalu Banki właściwie nigdy nie przyznają się, że ich systemy posiadają luki. Każdy duży, skomplikowany system informatyczny ma luki. Mirosław Kutyłowski, CBKE, 2004

27 Mirosław Kutyłowski, CBKE, 2004
Druga strona medalu Banki właściwie nigdy nie przyznają się, że ich systemy posiadają luki. Każdy duży, skomplikowany system informatyczny ma luki. Konserwacja systemów – odkrywanie luk i ich łatanie. Mirosław Kutyłowski, CBKE, 2004

28 Mirosław Kutyłowski, CBKE, 2004
Druga strona medalu Banki właściwie nigdy nie przyznają się, że ich systemy posiadają luki. Każdy duży, skomplikowany system informatyczny ma luki. Konserwacja systemów – odkrywanie luk i ich łatanie. Badanie bezpieczeństwa – publicznie, tajność budowy wpływa negatywnie na bezpieczeństwo Mirosław Kutyłowski, CBKE, 2004

29 Mirosław Kutyłowski, CBKE, 2004
Konsekwencje art. 32 Ujawnienie słabości systemu powoduje przejęcie odpowiedzialności finansowej za jego błędne działanie. Brak możliwości ujawnienia tych informacji nie pozwala wywrzeć nacisku w celu poprawienia systemu. Mirosław Kutyłowski, CBKE, 2004

30 Instytucja pieniądza elektronicznego
Zadanie: wystawianie „pieniądza elektronicznego” (wykorzystywany do drobnych płatności przy pomocy elektronicznych portmonetek – opłaty parkingowe, opłaty za przejazd, …) Poważna odpowiedzialność, więc ograniczenia – tylko wiarygodne podmioty mogą się tym zajmować. Mirosław Kutyłowski, CBKE, 2004

31 Ustawowa koncepcja wiarygodności
Art. 37. 1. Założycielami instytucji pieniądza elektronicznego w formie spółki akcyjnej mogą być osoby prawne lub fizyczne, z tym że założycieli nie może być mniej niż 3. Mirosław Kutyłowski, CBKE, 2004

32 Ustawowa koncepcja wiarygodności
Art. 38. 1 Akcje instytucji pieniądza elektronicznego mogą być obejmowane jedynie za wkłady pieniężne. 2 Obejmowane akcje muszą być w całości pokryte przed zarejestrowaniem spółki lub podwyższeniem kapitału spółki. 3. Przedstawiony przez założycieli plan działalności instytucji pieniądza elektronicznego na okres co najmniej 3 lat powinien wskazywać, że instytucja ta będzie w stanie wywiązywać się ze swoich zobowiązań wobec klientów. Mirosław Kutyłowski, CBKE, 2004

33 Mirosław Kutyłowski, CBKE, 2004
Nadzór Art. 42. Celem nadzoru nad instytucjami pieniądza elektronicznego jest zapewnienie: wywiązywania się przez instytucje pieniądza elektronicznego z zobowiązań podjętych w wyniku wydawania pieniądza elektronicznego, zgodności działalności instytucji pieniądza elektronicznego z przepisami ustawy, statutem, decyzją o wydaniu zezwolenia na utworzenie i prowadzenie działalności oraz innymi decyzjami i przepisami wydanymi na podstawie ustawy. Mirosław Kutyłowski, CBKE, 2004

34 Mirosław Kutyłowski, CBKE, 2004
Nadzór Art. 43.1 W ramach nadzoru KNB może zalecić w szczególności: podjęcie środków koniecznych do zapewnienia właściwego poziomu ochrony interesów klientów instytucji pieniądza elektronicznego, 2) podjęcie środków koniecznych do osiągnięcia i przestrzegania norm, o których mowa w ustawie oraz w rozporządzeniu wydanym na podstawie art. 48, 3) zwiększenie funduszy własnych. Mirosław Kutyłowski, CBKE, 2004

35 Mirosław Kutyłowski, CBKE, 2004
Nadzór Art. 43.1 W ramach nadzoru KNB może zalecić w szczególności: podjęcie środków koniecznych do zapewnienia właściwego poziomu ochrony interesów klientów instytucji pieniądza elektronicznego, 2) podjęcie środków koniecznych do osiągnięcia i przestrzegania norm, o których mowa w ustawie oraz w rozporządzeniu wydanym na podstawie art. 48, (rozporządzenie nie dotyczy technologii, w ustawie nie ma mowy o normach przemysłowych) 3) zwiększenie funduszy własnych. Mirosław Kutyłowski, CBKE, 2004

36 Mirosław Kutyłowski, CBKE, 2004
Nadzór Art. 43 3. Czynności kontrolne podejmowane są przez inspektorów nadzoru bankowego po okazaniu upoważnienia wydanego przez Generalnego Inspektora Nadzoru Bankowego. 4. Czynności, o których mowa w ust. 3, mogą być wykonywane ponadto przez upoważnionych biegłych rewidentów po okazaniu upoważnienia wydanego przez Generalnego Inspektora Nadzoru Bankowego. Mirosław Kutyłowski, CBKE, 2004

37 Nadzór technologiczny
bardzo specjalistyczna wiedza wymaga specjalistycznych firm, laboratoriów, … dla KNB jest to zadanie praktycznie niewykonalne Mirosław Kutyłowski, CBKE, 2004

38 Instrumenty pieniądza elektronicznego (hardware)
Art. 57. Umowa o instrument pieniądza elektronicznego nie może ograniczyć odpowiedzialności banku lub instytucji pieniądza elektronicznego wobec posiadacza za utratę pieniądza elektronicznego lub szkodę wynikłą wskutek nieprawidłowego wykonania operacji zleconych przez posiadacza, jeżeli przyczyną utraty pieniądza elektronicznego lub nieprawidłowego wykonania operacji będzie wadliwe funkcjonowanie urządzenia, na którego używanie bank lub instytucja pieniądza elektronicznego wyraziły zgodę. Mirosław Kutyłowski, CBKE, 2004

39 Instrumenty pieniądza elektronicznego (hardware)
Art Instrument pieniądza elektronicznego udostępniony posiadaczowi powinien posiadać mechanizm uniemożliwiający przechowywanie pieniądza elektronicznego o wartości większej niż równowartość w złotych 150 euro obliczana według średniego kursu ogłaszanego przez NBP obowiązującego w dniu wydania. Mirosław Kutyłowski, CBKE, 2004

40 Instrumenty pieniądza elektronicznego (hardware)
Art Instrument pieniądza elektronicznego udostępniony posiadaczowi powinien posiadać mechanizm uniemożliwiający przechowywanie pieniądza elektronicznego o wartości większej niż równowartość w złotych 150 euro obliczana według średniego kursu ogłaszanego przez NBP obowiązującego w dniu wydania. Mirosław Kutyłowski, CBKE, 2004

41 Elektroniczny dokument bankowy
ROZPORZĄDZENIE RADY MINISTRÓW, , Dz. U. Nr 51, poz. 442 Rozporządzenie określa zasady tworzenia, utrwalania, przechowywania i zabezpieczania, w tym przy zastosowaniu podpisu elektronicznego, dokumentów związanych z czynnościami bankowymi, sporządzanych na elektronicznych nośnikach informacji. Mirosław Kutyłowski, CBKE, 2004

42 Mirosław Kutyłowski, CBKE, 2004
Koncepcja „podpisu” "podpisaniu" - należy przez to rozumieć czynność polegają na: a) złożeniu bezpiecznego podpisu elektronicznego lub b) złożeniu podpisu elektronicznego lub dołączeniu danych identyfikujących, zgodnie z umową stron, a w przypadku dokumentów wewnętrznych banku - zgodnie z jego uregulowaniami wewnętrznymi; Podpis wg rozporządzenia to coś innego niż podpis w sensie innych przepisów. Mirosław Kutyłowski, CBKE, 2004

43 Koncepcja „integralności”
"integralności dokumentu" - należy przez to rozumieć właściwość polegającą na tym, że zawartość dokumentu nie uległa zmianie od chwili jego utworzenia; Mirosław Kutyłowski, CBKE, 2004

44 Mirosław Kutyłowski, CBKE, 2004
Warunki § Utrwalenie dokumentu polega na jego zapisaniu na elektronicznym nośniku informacji w sposób zapewniający sprawdzenie jego integralności i możliwość odczytania wszystkich informacji zawartych w tym dokumencie, aż do zakończenia okresu przechowywania dokumentu. Zachowanie integralności dokumentu można zapewnić w szczególności przez zapisanie go na elektronicznym nośniku informacji, na którym nie można dokonać żadnej zmiany w zapisie bez zniszczenia nośnika. Mirosław Kutyłowski, CBKE, 2004

45 Mirosław Kutyłowski, CBKE, 2004
Strona praktyczna Zapewnienie niemożności manipulacji dokumentu elektronicznego: specjalny nośnik podpis elektroniczny kody MAC (ale strona tworząca MAC może manipulować i tylko ona może weryfikować) Mirosław Kutyłowski, CBKE, 2004

46 Zastosowanie bezpiecznego podpisu elektronicznego
§ W przypadku stosowania podpisu elektronicznego dokument należy utrwalić wraz z całą ścieżką certyfikacji zawierającą certyfikat i zaświadczenia certyfikacyjne oraz ze wszystkimi listami zawieszonych lub unieważnionych certyfikatów użytymi w celu weryfikacji podpisu elektronicznego. Mirosław Kutyłowski, CBKE, 2004

47 Zastosowanie bezpiecznego podpisu elektronicznego
§ W przypadku stosowania podpisu elektronicznego dokument należy utrwalić wraz z całą ścieżką certyfikacji zawierającą certyfikat i zaświadczenia certyfikacyjne oraz ze wszystkimi listami zawieszonych lub unieważnionych certyfikatów użytymi w celu weryfikacji podpisu elektronicznego. Implementacja co prawda możliwa, ale droga i zupełnie niepraktyczna. Czy celem było wyeliminowanie stosowania bezpiecznego podpisu elektronicznego? Mirosław Kutyłowski, CBKE, 2004

48 Mirosław Kutyłowski, CBKE, 2004
Dziękuję za uwagę Kontakt: Miroslaw . pwr. wroc. pl Mirosław Kutyłowski, CBKE, 2004

Pobierz ppt "Uregulowania prawne dotyczące bezpieczeństwa systemów bankowych"

Podobne prezentacje

JASTRZĘBIA GÓRA 2010 Przekształcenia do postaci mapy zasadniczej do postaci cyfrowej i utworzenia baz danych Karol Kaim.

JASTRZĘBIA GÓRA 2010 Przekształcenia do postaci mapy zasadniczej do postaci cyfrowej i utworzenia baz danych Karol Kaim.
Kompleksowe zarządzanie bezpieczeństwem informacji

Kompleksowe zarządzanie bezpieczeństwem informacji
Rola kontroli skarbowej w wykrywaniu nieprawidłowości Departament Certyfikacji i Poświadczeń Środków z UE w Ministerstwie Finansów.

Rola kontroli skarbowej w wykrywaniu nieprawidłowości Departament Certyfikacji i Poświadczeń Środków z UE w Ministerstwie Finansów.
Ustawa z dnia 27 lipca 2002r. o szczególnych warunkach sprzedaży konsumenckiej oraz o zmianie Kodeksu Cywilnego.

Ustawa z dnia 27 lipca 2002r. o szczególnych warunkach sprzedaży konsumenckiej oraz o zmianie Kodeksu Cywilnego.
elektronicznego fakturowania

elektronicznego fakturowania
PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA

PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA
Słowniczek pojęć podstawowych związanych z funkcjonowaniem funduszy UE.

Słowniczek pojęć podstawowych związanych z funkcjonowaniem funduszy UE.
Metody identyfikacji: podpis elektroniczny, ePUAP, biometryka

Metody identyfikacji: podpis elektroniczny, ePUAP, biometryka
Informatyzacja a prawo podatkowe

Informatyzacja a prawo podatkowe
USTAWA z dnia 16 kwietnia 2004 r. o ochronie przyrody

USTAWA z dnia 16 kwietnia 2004 r. o ochronie przyrody
Dr Dariusz Adamski Prof. dr hab. Mirosław Kutyłowski

Dr Dariusz Adamski Prof. dr hab. Mirosław Kutyłowski
dr Remigiusz W. Kaszubski Dyrektor ZBP

dr Remigiusz W. Kaszubski Dyrektor ZBP
Strategia rozwoju systemu płatniczego i obrotu bezgotówkowego w Polsce

Strategia rozwoju systemu płatniczego i obrotu bezgotówkowego w Polsce
Mirosław BarszczWarszawa, 7 lipca 2005 r. Jerzy Martini Piotr Maksymiuk Marek Wojda Faktura elektroniczna Elektroniczna korespondencja z organami podatkowymi.

Mirosław BarszczWarszawa, 7 lipca 2005 r. Jerzy Martini Piotr Maksymiuk Marek Wojda Faktura elektroniczna Elektroniczna korespondencja z organami podatkowymi.
438/2001 Kontrola 5% Zamknięcie pomocy 1083/2006, 1828/2006 Audyt systemów Audyt operacji Ustawa z dnia 28 września 1991 r. o kontroli skarbowej.

438/2001 Kontrola 5% Zamknięcie pomocy 1083/2006, 1828/2006 Audyt systemów Audyt operacji Ustawa z dnia 28 września 1991 r. o kontroli skarbowej.
Polskie przepisy dotyczące tworzenia i funkcjonowania EUWT

Polskie przepisy dotyczące tworzenia i funkcjonowania EUWT
Realizacja planu kontroli agencji zatrudnienia z terenu województwa pomorskiego przez Wojewódzki Urząd Pracy w Gdańsku za okres od 01-01-2012 r. do 31-12-2012.

Realizacja planu kontroli agencji zatrudnienia z terenu województwa pomorskiego przez Wojewódzki Urząd Pracy w Gdańsku za okres od r. do
Audyt wewnętrzny w systemie kontroli zarządczej

Audyt wewnętrzny w systemie kontroli zarządczej
Podstawy prawne informatyzacji administracji publicznej

Podstawy prawne informatyzacji administracji publicznej
Aspekty prawne i techniczne

Aspekty prawne i techniczne

Podobne prezentacje

Reklamy Google