В Казахстане с 2026 года изменятся правила работы с банковскими приложениями

С 12 июля 2026 года в Казахстане вступят в силу новые требования по информационной безопасности для финансовых организаций. Об этом сообщает Azh.kz со ссылкой на постановление Агентства по регулированию и развитию финансового рынка.

С 12 июля 2026 года в Казахстане начнут действовать обновленные минимальные требования по обеспечению информационной безопасности на финансовом рынке. Постановление, утвержденное Агентством по регулированию и развитию финансового рынка, распространяется на финансовые организации, использующие цифровые системы и инфраструктуру.

Документ регулирует процессы защиты данных клиентов, работу банковских приложений, электронную почту финансовых организаций, а также порядок доступа сотрудников и сторонних лиц к цифровым системам и реагирования на киберинциденты.

Одно из важных изменений касается порядка регистрации и входа клиентов в цифровые сервисы. Теперь доступ к таким системам будет возможен только после идентификации и аутентификации пользователя. При удаленном доступе потребуется использовать минимум два разных фактора аутентификации. Это означает, что при работе с банковскими приложениями пользователям, скорее всего, придется подтверждать личность не только паролем, но и дополнительным способом — например, одноразовым кодом, устройством, электронной подписью или биометрией.

Для дистанционной регистрации клиента предусмотрено обязательное применение двух проверок личности: биометрической проверки по изображению лица с использованием государственной базы данных или биометрии, полученной при личном присутствии, а также проверки владения номером телефона из государственной базы мобильных номеров либо закрытым ключом электронной цифровой подписи.

Финансовые организации смогут собирать данные, необходимые для идентификации клиента, включая пароль, параметры генератора одноразовых паролей, уникальный идентификатор мобильного приложения, характеристики устройства, сертификат ЭЦП, дополнительный номер телефона, биометрические данные и криптографические ключи.

Внутренние требования также ужесточаются. Руководство каждой организации должно утвердить политику информационной безопасности, а первый руководитель будет нести персональную ответственность за ее выполнение. Кроме того, финансовые организации обязаны вести аудит действий пользователей и клиентов в цифровых системах, фиксируя события входа, аутентификации, изменения настроек безопасности и учетных записей. Эти данные должны храниться в оперативном доступе не менее трех месяцев и в архиве — не менее года.

Для защиты цифровой инфраструктуры установлены требования к шифрованию соединений, ограничению прав локального администратора и обязательному использованию антивирусных систем или средств контроля целостности программной среды на серверах, рабочих станциях, ноутбуках и мобильных устройствах.

Особое внимание уделено электронной почте. Почтовые сервисы финансовых организаций, взаимодействующие с госорганами и гражданами, должны работать только на инфраструктуре, расположенной в Казахстане. Организации обязаны публиковать свои казахстанские адреса электронной почты в открытых источниках и указывать, что эти адреса предназначены для связи с гражданами.

Финансовые организации должны незамедлительно информировать регулятора о серьезных инцидентах информационной безопасности. К таким инцидентам относятся эксплуатация уязвимостей, несанкционированный доступ, DDoS-атаки, заражение вредоносным ПО, несанкционированные переводы денег, сбои в системах идентификации и аутентификации, а также другие случаи, вызвавшие простой цифровых систем более одного часа.

Новые правила направлены на усиление защиты клиентов и повышение ответственности финансовых организаций за безопасность цифровых сервисов. Для пользователей это может означать более строгие процедуры входа и регистрации, а также более частое использование биометрии и дополнительных способов подтверждения личности.