|| Иллюстрация создана «Диапазоном» при помощи ИИ

С 12 июля 2026 года зарегистрироваться в банковском приложении только по номеру телефона в Казахстане станет невозможно. Финансовые организации обяжут проверять личность клиента через государственную базу биометрических данных и подтверждать, что мобильный номер действительно принадлежит именно ему. Такие требования содержатся в постановлении агентства по регулированию и развитию финансового рынка (АРРФР), пишет Inbusiness.kz.

Документ был утвержден 20 апреля 2026 года и распространяется на банки, страховые компании и другие финансовые организации, работающие с цифровыми системами. Постановление вводит единые требования — от порядка уведомления регулятора о хакерских атаках до правил хранения пользовательских данных.

Одним из ключевых изменений стало возложение персональной ответственности за информационную безопасность на первого руководителя финансовой организации. Руководство обязано утвердить внутреннюю политику защиты данных, а каждый новый сотрудник должен ознакомиться с требованиями информационной безопасности под подпись в течение пяти рабочих дней после трудоустройства.

Кроме того, требования по кибербезопасности теперь распространяются и на подрядчиков, консультантов и технических партнеров, имеющих доступ к системам или данным финансовых организаций. Соответствующие положения должны быть включены во все договоры.

Постановление также обязывает банки и страховые компании немедленно уведомлять АРРФР о киберинцидентах. Речь идет об эксплуатации уязвимостей, несанкционированном доступе к системам, DDoS-атаках, заражении серверов вредоносным кодом, сбоях идентификации клиентов и несанкционированных переводах средств.

Под обязательное раскрытие подпадает и любой инцидент, вызвавший простой цифровых систем более чем на один час.

Передавать информацию организации должны через автоматизированную систему уполномоченного органа — АСОИ. Если она недоступна, компании обязаны уведомить регулятора по телефону и продублировать сообщение официальным письмом.

Отдельное внимание в документе уделено защите цифровой инфраструктуры. Все внешние телекоммуникационные соединения финансовых организаций должны быть зашифрованы. Использование открытых каналов передачи данных будет считаться нарушением требований регулятора.

Почтовые сервисы банков и страховых компаний, включая переписку с государственными органами и клиентами, теперь должны размещаться исключительно на территории Казахстана. Организации также обязаны использовать механизмы защиты SPF, DKIM и DMARC, препятствующие подделке отправителей и фишинговым атакам.

Постановление запрещает выдавать сотрудникам права локального администратора без обоснованной необходимости. На серверах, рабочих станциях и ноутбуках должны быть установлены антивирусные системы или средства контроля целостности программной среды. При этом пользователь не сможет самостоятельно отключить защиту.

Если финансовая организация использует сторонние дата-центры или облачные сервисы, она обязана исключить доступ третьих лиц к персональным данным, банковской тайне и другой защищаемой информации.

Одним из наиболее заметных изменений для клиентов станет новый порядок доступа к цифровым сервисам. Любой вход в мобильный банк или личный кабинет извне должен подтверждаться минимум двумя независимыми факторами аутентификации.

Постановление предусматривает три типа факторов: пароль или секретный вопрос, физическое устройство либо криптографический ключ, а также биометрические данные. Для авторизации потребуется комбинация любых двух факторов.

Финансовые организации также обяжут фиксировать все попытки входа в системы — успешные и неуспешные, включая IP-адреса, изменения настроек безопасности, учетных записей и прав доступа. Эти данные должны храниться не менее трех месяцев в оперативном доступе и не менее года в архиве.

Отдельно прописаны новые правила дистанционной регистрации клиентов. Теперь удаленная идентификация должна включать одновременно биометрическую проверку по изображению лица через государственную базу данных и подтверждение владения номером телефона, зарегистрированным в государственной базе мобильных номеров, либо подтверждение через ЭЦП.

"Иными словами, зарегистрироваться в банковском приложении, просто введя имя и номер телефона, больше не получится. Система обязана сверить лицо клиента с государственной базой и убедиться, что телефонный номер действительно принадлежит ему, а не куплен на чужое имя или взят из утечки данных".

При этом механизмы контроля за исполнением новых требований и санкции за нарушения в самом документе пока не прописаны. Надзор за исполнением постановления возложен на курирующего заместителя председателя АРРФР.