ym88659208ym87991671
Общие рекомендации | Документация для разработчиков

Общие рекомендации

Обновлено 29 ноября 2024

Настройками внутреннего межсетевого экрана (Internal Firewall) доступ к серверу АС Клиента рекомендуется разрешить только для серверов и рабочих станций организации, необходимых для использования в производственном процессе:

  • сервера контроллеров домена, обновлений системного и антивирусного ПО;
  • АРМ администраторов сервера АС Клиента.

Для подключения АС Клиента к шлюзу Sber API Банка на межсетевом экране (External Firewall) необходимо разрешить взаимодействие с интернет-ресурсом https://fintech.sberbank.ru:9443.

Исключите доступ к ресурсам и сервисам сети Интернет с рабочего места, предназначенного для подписания электронных документов (ЭД) с использованием устройств VPN-Key-TLS/Rutoken TLS.

Подписание ЭД с использованием VPN-Key-TLS/Rutoken TLS рекомендуется осуществлять в отдельном сегменте корпоративной сети.

Меры по защите от вредоносного ПО

На сервере АС Клиента:

  • Испольуйте современное антивирусное программное обеспечение и следите за его регулярным обновлением;
  • Регулярно выполняйте антивирусную проверку для своевременного обнаружения вредоносных программ;
  • Своевременно устанавливайте обновления операционной системы серверов и АРМ администратора, рекомендуемые компанией-производителем в целях устранения выявленных уязвимостей ОС;
  • Используйте дополнительное программное обеспечение, позволяющее повысить уровень защиты компьютеров – персональные межсетевые экраны, программы поиска шпионских компонент, программы защиты от «спам»- рассылок и пр.;
  • Обеспечьте отсутствие несанкционированно установленных программ удаленного доступа (TeamViewer, BeTwin, RAdmin и др.), программ работы с вирусоопасными ресурсами и сервисами сети Интернет, включая почтовые клиенты;
  • Исключите установку ПО, полученного из не заслуживающих доверия источников, а также нелицензионного и свободно-распространяемого ПО на сервере с системой.

Cотрудники ПАО «Сбербанк» не рассылают дистрибутивы ПО по электронной почте.

Меры, направленные на защиту от копирования ключевой и парольной информации

  • Client_Secret – это конфиденциальная информация. Ни при каких обстоятельствах не раскрывайте эти данные никому, включая сотрудников Банка.

  • При подозрениях на компрометацию постоянного Client_Secret, следует незамедлительно остановить работу с сервисом Sber API, направить письмо с запросом о замене Client_Secret и провести смену Client_Secret после его получения от Банка.

  • В случае компрометации Client_Secret необходимо незамедлительно выполнить его блокировку в соответствии с п. 4.2.3 Соглашения.

  • При доступе АС Клиента к Sber API хранение Client_Secret необходимо осуществлять в ключевом хранилище. Настройками безопасности ОС доступ к ключевому хранилищу рекомендуется предоставлять только для учетной записи АС.

  • Процедуру замены Client_Secret необходимо проводить в автоматизированном режиме средствами АС без вмешательства пользователей.

  • При обращении от имени Банка по телефону, электронной почте, через SMS-сообщения лиц с просьбами сообщить или передать конфиденциальную информацию (Client_Secret) ни при каких обстоятельствах не сообщайте данную информацию.

  • В период, когда Система не используется, необходимо отключать носители с ключами ЭП от сервера, и убирать в места хранения (сейф, и т.п.).

  • Необходимо выполнять незамедлительную блокировку и смену ключей ЭП в случаях их компрометации, а также по истечении срока действия ключей с периодичностью, установленной договорами и документацией.

  • ПИН-коды доступа устройств «VPN-Key-TLS/Rutoken TLS» - это конфиденциальная информация. Ни при каких обстоятельствах не раскрывайте эти данные никому, включая сотрудников Банка.

Меры, направленные на защиту от выполнения несанкционированных списаний

  • Регулярно контролируйте состояние корреспондентских счетов организации и незамедлительно информировать обслуживающее подразделение Банка обо всех подозрительных или несанкционированных операциях.

  • В случае неожиданного выхода из строя серверов с модулем подписания с использованием устройств VPN-Key-TLS/Rutoken TLS прекратите эксплуатацию данных серверов, отключив их от всех видов сетей, включая локальную корпоративную сеть, срочно запросить выписку по счету непосредственно в Банке. При обнаружении несанкционированных платежных операций обратитесь с заявлением в Банк, а также в правоохранительные органы. Не восстанавливайте работоспособность скомпрометированных серверов до проведения технической экспертизы. Подписание электронных документов осуществляйте с использованием устройств VPN-Key-TLS/Rutoken TLS на других серверах после обязательной смены ключей ЭП.

Меры по поддержанию уровня информационной безопасности

Для обеспечения высокого уровня информационной безопасности при эксплуатации АС Клиента в организации должен быть назначен ответственный, который осуществляет:

  • Постоянный контроль соблюдения мер информационной безопасности, предусмотренных настоящей памяткой;
  • Выявление, устранение и информирование руководства организации обо всех выявленных нарушениях;
  • Контроль устранения выявленных нарушений;
  • Документирование результатов проведенных работ и проверок;
  • Организацию и проведение мероприятий по усилению безопасности в соответствии с информационными сообщениями, которые направляются Банком официальными письмами, а также публикуются на сайте Банка.
ПАО Сбербанк использует cookie для персонализации сервисов и удобства пользователей.
Вы можете запретить сохранение cookie в настройках своего браузера.