2.6.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет объектов информационной инфраструктуры, используемых для обработки, хранения и (или) передачи защищаемой информации, в том числе банкоматов и платежных терминалов.2.6.3. При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают:выполнение процедур идентификации, аутентификации, авторизации лиц, осуществляющих доступ к программному обеспечению банкоматов и платежных терминалов;выполнение процедур идентификации и контроль деятельности лиц, осуществляющих техническое обслуживание банкоматов и платежных терминалов;2.6.5. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры принимают и фиксируют во внутренних документах решения о необходимости применения организационных мер защиты информации и (или) использования технических средств защиты информации, предназначенных для: регистрации доступа к банкоматам, в том числе с использованием систем видеонаблюдения.
2.7.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:использование технических средств защиты информации, предназначенных для выявления вредоносного кода и для предотвращения воздействия вредоносного кода на объекты информационной инфраструктуры (далее — технические средства защиты информации от воздействия вредоносного кода), на средствах вычислительной техники, включая банкоматы и платежные терминалы, при наличии технической возможности;регулярное обновление версий технических средств защиты информации от воздействия вредоносного кода и баз данных, используемых в работе технических средств защиты информации от воздействия вредоносного кода и содержащих описание вредоносных кодов и способы их обезвреживания;функционирование технических средств защиты информации от воздействия вредоносного кода в автоматическом режиме, при наличии технической возможности.
2.7.4. При наличии технической возможности оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают выполнение:предварительной проверки на отсутствие вредоносного кода программного обеспечения, устанавливаемого или изменяемого на средствах вычислительной техники, включая банкоматы и платежные терминалы;проверки на отсутствие вредоносного кода средств вычислительной техники, включая банкоматы и платежные терминалы, выполняемой после установки или изменения программного обеспечения.
2.18. В состав требований к обеспечению защиты информации при осуществлении переводов денежных средств с применением банкоматов и платежных терминалов включаются следующие требования.
2.18.1. Оператор по переводу денежных средств обеспечивает проведение классификации терминальных устройств дистанционного банковского обслуживания, к которым относятся банкоматы и платежные терминалы, используемые при осуществлении переводов денежных средств (далее при совместном упоминании — ТУ ДБО), с учетом следующего:возможностей несанкционированного получения информации, необходимой для осуществления переводов денежных средств;возможностей осуществления воздействия, приводящего к сбоям, отказам, повреждению ТУ ДБО;особенностей конструкции ТУ ДБО;места установки ТУ ДБО.Оператор по переводу денежных средств фиксирует во внутренних документах отнесение каждого ТУ ДБО к одному из определенных в ходе классификации типов (далее — результаты классификации ТУ ДБО) и проводит пересмотр результатов классификации ТУ ДБО при изменении факторов, влияющих на классификацию ТУ ДБО.Оператор по переводу денежных средств, наряду с факторами, указанными в абзаце первом пункта 2.3 настоящего Положения, учитывает результаты классификации ТУ ДБО при выборе организационных мер защиты информации, технических средств защиты информации, а также функциональных и конструктивных особенностей ТУ ДБО, связанных с обеспечением защиты информации при осуществлении переводов денежных средств, с целью выполнения требований подпунктов 2.18.3–2.18.8 настоящего пункта.
2.18.2. Оператор по переводу денежных средств принимает и фиксирует во внутренних документах решения о необходимости установки на (в) ТУ ДБО технических средств, предназначенных для обнаружения и (или) предотвращения (затруднения) работы несанкционированно установленного оборудования.
2.18.3. Оператор по переводу денежных средств обеспечивает контроль состава объектов информационной инфраструктуры в сегментах информационно-телекоммуникационных сетей, в составе которых присутствуют ТУ ДБО, за исключением случая использования услуг радиотелефонной подвижной связи.
2.18.4. Оператор по переводу денежных средств обеспечивает размещение на лицевой панели ТУ ДБО или в непосредственной близости от ТУ ДБО сведений, включающих:наименование оператора по переводу денежных средств, которому принадлежит ТУ ДБО на правах собственности, аренды, лизинга;идентификатор ТУ ДБО;телефонный номер (телефонные номера), адреса электронной почты, предназначенные для связи клиентов, использующих данное ТУ ДБО, с оператором по переводу денежных средств, банковским платежным агентом (субагентом) по вопросам, связанным с использованием данного ТУ ДБО;порядок действий клиента в случае возникновения подозрения о нарушении порядка штатного функционирования ТУ ДБО, а также в случае выявления признаков событий, связанных с нарушением обеспечения защиты информации при осуществлении переводов денежных средств с применением ТУ ДБО.Оператор по переводу денежных средств определяет во внутренних документах порядок работы с заявлениями клиентов о выявленных событиях, связанных с нарушением обеспечения защиты информации при осуществлении переводов денежных средств с применением ТУ ДБО, и обеспечивает выполнение указанного порядка.
2.18.5. Оператор по переводу денежных средств определяет порядок настройки программного обеспечения, средств вычислительной техники в составе ТУ ДБО, включая информацию о конфигурации, определяющей параметры работы технических средств защиты информации, и обеспечивает выполнение указанного порядка.
2.18.6. Оператор по переводу денежных средств обеспечивает периодический контроль состояния ТУ ДБО с целью выявления событий, влияющих на обеспечение защиты информации при осуществлении переводов денежных средств. К таким событиям в том числе относятся:несанкционированное внесение изменений в программное обеспечение ТУ ДБО, включая внедрение вредоносного кода;несанкционированное внесение изменений в аппаратное обеспечение ТУ ДБО (установка несанкционированного оборудования на (в) ТУ ДБО), включая несанкционированное использование коммуникационных портов;сбои и отказы в работе технических средств защиты информации, устройств приема платежных карт (при наличии данных устройств), устройств приема наличных денежных средств (при наличии данных устройств), устройств выдачи наличных денежных средств (при наличии данных устройств).В случае выявления событий, указанных в настоящем подпункте, оператор по переводу денежных средств обеспечивает приведение ТУ ДБО в такое состояние, при котором обслуживание клиентов невозможного минимизации возможности наступления негативных последствий выявленных событий или устранения несанкционированных изменений в программном и аппаратном обеспечении ТУ ДБО.
2.18.7. Оператор по переводу денежных средств определяет во внутренних документах и обеспечивает выполнение порядка проведения контроля, предусмотренного подпунктом 2.18.6 настоящего пункта, включая его периодичность, в зависимости от факторов, указанных в абзаце первом пункта 2.3 настоящего Положения, а также в зависимости от:использования систем удаленного мониторинга состояния ТУ ДБО, применения в соответствии с подпунктом 2.18.2 настоящего пункта технических средств, предназначенных для обнаружения и (или) предотвращения (затруднения) работы несанкционированно установленного на (в) ТУ ДБО оборудования;результатов классификации ТУ ДБО в соответствии с подпунктом 2.18.1 настоящего пункта.
2.18.8. Оператор по переводу денежных средств определяет требования к обеспечению привлеченными к деятельности по оказанию услуг по переводу денежных средств банковскими платежными агентами (субагентами) защиты информации при использовании ТУ ДБО. Банковский платежный агент (субагент) обеспечивает выполнение указанных требований.
8. В графе 2 раздела 3 Отчета указывается один из следующих кодов:код «2.2» указывается, если инцидент привел к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;— под действие данного кода попадают операции снятия наличных денежных средств в банкоматах с использованием поддельных, утраченных, временно выбывших из владения карт (несанкционированные операции).
код «2.3» указывается, если инцидент может привести к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;— под действие данного кода попадают действия по установке скимминговых устройств и вредоносного кода.
10. В графе 4 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:код «4.1» указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, платежной карты в банкомате;код «4.6» указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, банкомата или электронного терминала, и платежная карта использована не была;коды «4.11.1» — «4.11.6» указываются, если инцидент произошел при эксплуатации отчитывающимся оператором, банковским платежным агентом (субагентом) или операционным центром, находящимся за пределами Российской Федерации, объекта информационной инфраструктуры; при этом код «4.11.1» указывается, если инцидент произошел при эксплуатации банкомата, платежного терминала или электронного терминала.
11. В графе 5 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:код «5.1» указывается, если инцидент произошел при эксплуатации отчитывающимся оператором, являющимся оператором по переводу денежных средств, автоматизированной системы, реализующей технологии дистанционного банковского обслуживания клиентов с использованием банкоматов, платежных терминалов, электронных терминалов.
12. В графе 6 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:код «6.1» указывается, если причиной инцидента является воздействие вредоносного кода;код «6.3» указывается, если причиной инцидента является использование электронного средства платежа без согласия клиента вследствие противоправных действий, потери, нарушения конфиденциальности информации, необходимой для удостоверения клиентом оператора по переводу денежных средств права распоряжения денежными средствами (далее — аутентификационная информация); (снятие наличных).код «6.7» указывается, если причиной инцидента является размещение на банкоматах и платежных терминалах специализированных средств, предназначенных для несанкционированного получения (съема) информации, необходимой для осуществления переводов денежных средств, в том числе аутентификационной информации;код «6.8» указывается, если причиной инцидента является распространение информации (например, с использованием ресурсов сети Интернет, в том числе электронной почты, а также услуг, предоставляемых операторами связи), побуждающей клиента оператора по переводу денежных средств сообщать информацию, необходимую для осуществления переводов денежных средств от его имени, в том числе аутентификационную информацию; (фишинг, социальная инженерия).
Раздел I. Сведения о количестве платежных карт, с использованием которых были совершены несанкционированные операции.Подраздел I. Операции, совершенные на территории Российской Федерации с использованием платежных карт, эмитированных кредитной организацией.Подраздел II. Операции, совершенные за пределами территории Российской Федерации с использованием платежных карт, эмитированных кредитной организацией.Подраздел III. Операции, совершенные на территории Российской Федерации с использованием платежных карт, эмитированных за пределами территории Российской Федерации.Количество и сумма несанкционированных операцийиз них совершенных:посредством банкоматов (платежных терминалов).
Раздел II. Сведения об инфраструктуре, в которой были совершены несанкционированные операции с использованием платежных карт.
Сведения о несанкционированных операциях, совершенных с использованием платежных карт:1. Отчетность по форме 0409258 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт» (далее — Отчет) составляется в целях получения сведений о количестве и сумме несанкционированных операций, совершенных с использованием платежных карт, и инфраструктуре, используемой при их совершении.2. Отчет составляется в целом по кредитной организации (включая небанковские кредитные организации) (за исключением небанковских кредитных организаций, осуществляющих депозитно-кредитные операции) и представляется в территориальное учреждение Банка России:кредитными организациями (включая небанковские кредитные организации) (за исключением небанковских кредитных организаций, имеющих право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций) — не позднее 10-го рабочего дня месяца, следующего за отчетным.
Кредитным организациям, в том числе при привлечении специализированных организаций, рекомендуется:классифицировать места установки устройств по степени риска подвергнуться попыткам физического взлома, установки скиммингового оборудования и (или) воздействия вредоносного кода, а также совершения несанкционированных операций (далее — атаки);пересматривать классификацию мест установки устройств по мере развития технологий, в том числе технологий атак;оснащать устройства защитным оборудованием и специальным программным обеспечением, при этом их тип, комплектацию и функциональные возможности рекомендуется выбирать с учетом классификации места установки (предполагаемой установки) устройства;осуществлять на регулярной основе, в зависимости от классификации места установки устройства, контроль внешнего вида устройства, включая его целостности и отсутствия несанкционированного оборудования, а также действий обслуживающих данное устройство организаций;использовать системы удаленного мониторинга состояния устройства, обеспечивающие контроль надлежащего функционирования защитного оборудования и специального программного обеспечения;оборудовать устройства системами видеонаблюдения (минимум двумя видеокамерами) со сроком хранения записей видеосъемки не менее 60 календарных дней. Требования к типу и качеству систем видеонаблюдения, хранению информации, а также местам их установки (внутри или вне устройства) должны обеспечивать получение видеоизображения надлежащего качества;обеспечить обнаружение, фиксацию фактов атак и попыток их совершения и информирование о них заинтересованных участников рынка розничных платежных услуг, а также Банка России;проводить анализ и устранять выявленные уязвимости в случаях, когда используемое устройство подверглось атакам или попыткам их совершения;совершенствовать применяемые решения и процедуры, направленные на обнаружение, фиксацию, идентификацию и предотвращение атак или попыток их совершения;осуществлять сотрудничество с иными кредитными организациями, а также осуществлять на регулярной основе обмен информацией в целях развития и совершенствования безопасности устройств;размещать на экране устройства либо в пределах прямой видимости от него предупреждающие сообщения о необходимости соблюдения мер предосторожности при наборе персонального идентификационного номера при использовании устройства;устанавливать устройства в безопасных местах (например, в государственных учреждениях, своих подразделениях, крупных торговых комплексах, гостиницах, аэропортах и тому подобное) с учетом настоящих Рекомендаций;осуществлять крепление устройства к стене или к полу в помещениях и к фундаменту вне помещений, если это допускает его конструкция;устанавливать устройства с антивандальным исполнением корпуса и панелей;предусматривать при установке устройства возможность его безопасного использования маломобильными группами населения, людьми, с ограниченными возможностями здоровья;страховать устройства и (или) наличные денежные средства, находящиеся внутри данных устройств.
Управление уголовного розыска ГУ МВД России по г. Москве предлагает:1. Закреплять банкоматы с помощью анкерного крепления.2. Оборудовать банкоматы фронтальным видеорегистратором со звукофиксацией.3. Устанавливать в банкоматах GPS-трекер, с помощью которого можно определить местонахождение похищенного банкомата.4. Использовать химловушки.5. Усилить ригель замков хранилищ банкоматов.6. Осуществлять постановку банкоматов на пультовую охрану УВО ГУ МВД России по г. Москве.
1. Минимальные требования для антискимминговых решений с независимым тестированием.Все поставщики банкоматов и многие их продавцы в состоянии обеспечить антискимминговые решения. Европейская группа безопасности банкоматов (European ATM Security Team — EAST) определила и поддерживает базу данных антискимминговых решений и их функциональных возможностей. Некоторые решения более эффективны, чем другие, однако в настоящее время нет никакого свидетельства или независимой оценки этих решений. Это делает выбор решения трудным, также преступники успешно обошли многие антискимминговые меры. Поэтому Рабочая группа по картам Cards Working Group рекомендует определить минимальные требования для антискиммингового решения и предоставить их для независимого анализа, тестирования и оценки.Антискимминговое решение может использовать различные подходы, которые должны включать некоторые из ниженазванных:• Устройство ввода карты в считыватель должно предотвратить крепление скимминговых устройств и (или) сделать такие устройства заметными.• Необходимо обнаруживать, создавать помехи или нарушать работу скимминговых устройств, когда они присоединены к банкомату.
Везде, где возможно, эти решения должны быть в состоянии обнаружить скимминговые атаки и любое вмешательствов устройство должно привести к закрытию банкомата или к генерации тревожного сообщения.Кроме того, рекомендуется, чтобы система контроля банкоматов была в состоянии удаленно обнаружить, находятся ли электронные антискимминговые устройства в рабочем состоянии.
2. Операторы банкоматов должны также рассмотреть дополнительные меры, которые можно использоваться в зависимости от конкретных обстоятельств и экономических обоснований:• Защитные экраны, чтобы скрыть руку клиента.• Демонстрация на банкомате предупреждения, просящего клиентов «закрывать и заслонять свой ПИН».• Демонстрация на банкомате предупреждения о скимминговых устройствах и телефон поддержки клиентов, чтобы сообщить об инцидентах.• Общие рекомендации относительно безопасного использования банкоматов, которые будут изданы для повышения уровня образования клиентов.• Предусмотреть неиспользование платежных (ATM) карт в системах контроля доступа, например, для прохода к банкомату.• Регулярный визуальный осмотр банкоматов обслуживающим персоналом, обученным на предмет поиска скимминговых устройств.• Использование экранов банкоматов для демонстрации того как должны выглядеть банкомат и считыватель карты.• Контроль доступа при обслуживании банкоматов с отслеживанием людей, осуществлявших доступ к банкомату.
3. В случае установки нового банкомата в помещении с высоким риском и (или) при межстенном расположении антискимминговое устройство должно быть установлено как стандартная опция поставщиком банкомата или третьим лицом (сервисной службой).Необходимо провести градацию мест установки банкоматов по категориям риска. Например, к зонам повышенного риска можно отнести межстенные банкоматы, банкоматы вне зоны наблюдения, с 24-часовым доступом. Категории риска места установки банкомата должны периодически пересматриваться.
4. Если банкомат подвергся нападению, антискимминговое устройство должно быть модернизировано.Так как не все банкоматы или места их расположения одинаково уязвимы, то необходимо дополнительно рассмотреть рекомендации пункта 2 для банкоматов, которые подверглись нападению.
5. Операторы банкоматов, эмитенты и производители карт должны совершенствовать системы и процедуры определения скимминговых атак и мошеннических операций. Необходимо развивать сотрудничество и обмен информацией, чтобы свести потери к минимуму.
7.3. При перевозке наличных денег, инкассации наличных денег кредитная организация может использовать специальные устройства для упаковки наличных денег, в случае несанкционированного вскрытия которых происходит окрашивание банкнот Банка России специальной краской, обладающей устойчивостью к воздействию растворителей, химических реактивов и другими отличительными характеристиками, позволяющими идентифицировать ее наличие на банкноте Банка России. В этом случае, а также при страховании наличных денег, перевозимых или инкассируемых в автотранспорте, требования, установленные в абзаце первом пункта 7.2 настоящего Положения, к оборудованию автотранспорта могут не применяться.7.2. Для перевозки наличных денег, инкассации наличных денег кредитные организации, ВСП применяют технически исправный автотранспорт, оборудованный броневой защитой.
1. Головные расчетно-кассовые центры Банка России (далее — ГРКЦ) принимают на экспертизу от кредитной организации (филиала) (далее — кредитная организация) банкноты Банка России, окрашенные специальной краской в результате срабатывания специальных устройств для упаковки наличных денег (далее — спецконтейнеры).Кредитная организация принимает от юридического лица, не являющегося кредитной организацией (далее — юридическое лицо), использующего спецконтейнеры, банкноты Банка России, окрашенные специальной краской в результате срабатывания спецконтейнера (далее — окрашенные банкноты) для их передачи на экспертизу в ГРКЦ.
2. Прием на экспертизу и обмен окрашенных банкнот осуществляется ГРКЦ только при наличии у них информации об используемых кредитной организацией (юридическим лицом) спецконтейнерах, а также характеристик специальной краски.
3. Кредитная организация не менее чем за 30 рабочих дней до начала использования спецконтейнеров и специальной краски направляет в Банк России (Департамент наличного денежного обращения Банка России) образцы специальной краски и техническую документацию на спецконтейнеры и специальную краску.Юридическое лицо не менее чем за 30 рабочих дней до начала использования спецконтейнеров и специальной краски направляет в кредитную организацию образцы специальной краски и техническую документацию на спецконтейнеры и специальную краску.Кредитная организация не позднее 3 рабочих дней со дня получения от юридического лица образцов специальной краски и технической документации на спецконтейнеры и специальную краску направляет их в Банк России (Департамент наличного денежного обращения Банка России).По результатам исследования представленных образцов специальной краски и технической документации на спецконтейнеры и специальную краску Департамент наличного денежного обращения Банка России в течение 15 рабочих дней со дня получения образцов специальной краски и технической документации на спецконтейнеры и специальную краску направляет в территориальные учреждения Банка России письменное сообщение, содержащее: характеристики специальной краски, позволяющие идентифицировать ее наличие на банкнотах Банка России, а также полное фирменное наименование кредитной организации (юридического лица), использующего эту специальную краску и спецконтейнеры (далее — сообщение).
4. Прием ГРКЦ на экспертизу окрашенных банкнот осуществляется в порядке, установленном Указанием Банка России от 27.08.2008 № 2060-У «О кассовом обслуживании в учреждениях Банка России кредитных организаций и иных юридических лиц».
7. Направление юридическим лицом окрашенных банкнот в кредитную организацию осуществляется в порядке, установленном Положением Банка России от 24.04.2008 № 318-П «О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монеты Банка России в кредитных организациях на территории Российской Федерации».
8. В случае признания экспертизой окрашенных банкнот платежеспособными их сумма возвращается: ГРКЦ кредитной организации в порядке, установленном Указанием Банка России № 2060-У для сомнительных денежных знаков, кредитной организацией юридическому лицу в порядке, установленном Положением Банка России № 318-П для сомнительных денежных знаков. В случае признания экспертизой окрашенных банкнот имеющими признаки подделки или неплатежеспособными, не содержащими признаков подделки, работа с ними осуществляется в порядке, установленном Указанием Банка России № 2060-У, Положением Банка России № 318-П.
В целях повышения безопасности и защиты от несанкционированного доступа к программному обеспечению банкоматов, работающих под управлением операционной системы Windows, а также для защиты от вредоносных программ рекомендуется произвести следующий комплекс мероприятий:1. Произведите настройки BIOS.А. Отключите загрузку с внешних устройств.
После запуска BIOS происходит поиск устройств хранения информации для запуска операционной системы — обычно это жесткий диск. Различные типы BIOS могут использовать разную технику выбора устройств хранения. Некоторые требуют полностью отключить загрузку с внешних устройств. Также есть BIOS, которые имеют способность обходить нормальную процедуру загрузки через PC-клавиатуру, например нажатием клавиши ESC во время загрузки. Такую возможность тоже нужно отключить. В BIOS возможность загрузки с USB при отсутствии загрузочного USB-устройства может не отображаться и, следовательно, при настройке это устройство по факту может оказаться первым. Если в BIOS запрещена загрузка со всех устройств, кроме HD, возможен вариант игнорирования запрета на запуск с CD, рекомендуется установить загрузку с CD второй, то есть когда неисправен HD.Б. Установите пароль в BIOS.
После того как сделаны все настройки BIOS, доступ к нему должен быть защищен паролем. Большинство BIOS имеют два пароля: Supervisor и User. Нужно использовать только Supervisor. Пароль User должен быть выключен (disabled). Длину и корректные символы для ввода пароля определяет тип BIOS.2. Осуществляйте инсталляцию ПО на банкомате при отключенном сетевом кабеле.3. Произведите настройку учетных записей в Windows.
Для доступа к рабочему столу нужно использовать не менее двух учетных записей: администратор и рабочая.4. Установите парольную политику и измените пароли по умолчанию у всех учетных записей.
Необходимо установить/изменить все пароли, установленные по умолчанию, в том числе для удаленного доступа, установки обновлений и т. п.5. Отключите функцию автозапуска (autoplay, autorun).6. Используйте стойкое шифрование каналов связи.7. Установите межсетевой экран или используйте изолированную сетевую инфраструктуру.8. Удалите неиспользованные службы и приложения.9. Установите политику обновлений программного обеспечения (по согласованию с поставщиком ПО).10. Задайте различные учетные записи пользователя прикладного ПО.
Прикладное ПО должно работать под учетной записью с минимальными полномочиями.11. Обеспечьте мониторинг сигнала оповещения при открытии верхнего кабинета банкомата.12. Используйте в диспенсере функцию шифрования.13. Используйте программное обеспечение контроля запускаемого на исполнение ПО («белый» список).14. Используйте систему удаленной загрузки терминальных мастер-ключей (Remote KeyManagement).15. Используйте промышленную операционную систему, поддерживаемую производителем.16. Используйте прикладное ПО, сертифицированное по стандарту PA-DSS.17. Банкоматное программное обеспечение должно устанавливаться с инсталляционных дисков по технологии и регламентам, рекомендованным поставщиками банкоматов и ПО.18. Используйте EPP клавиатуру, сертифицированную по стандарту PCI PTS.19. Используйте режим ЕРР клавиатуры, соответствующий стандарту PCI PTS (защищенный ввод криптографических ключей).20. Для неконсольного административного доступа к банкомату используйте программное обеспечение, обеспечивающее стойкое шифрование аутентификационных данных.21. Заблокируйте или отключите не используемые для обслуживания порты ввода/вывода.