DNB toetsingskader mobiele applicaties, versie mei 2014 Te beoordelen onderwerpen (‘points to consider’) 1 Strategy, policies and governance a) Missie, visie en bedrijfsstrategie b) IT strategie mobiele applicaties c) Organogram onder toezicht staande instelling (otsi): - Betalingsverkeerorganisatie - IT-organisatie d) Informatiebeveiligingsbeleid e) Sourcing policy en/of uitbestedingsbeleid f) (IT-) Procurement policy 2 Risk assessment a) Risk management governance (o.a. overzicht risk boards) b) Risk appetite c) Risicoanalyse aangaande de mobiele applicaties, inclusief overzicht van restrisico’s (end-to-end keten) 3 Architecture a) Overzicht van de architectuur van (de keten van) de IT-infrastructuur (end-toend): van mobiele applicaties op mobiel apparaat tot back-end systemen van otsi, tot aan externe partijen, zoals Equens en service providers b) Interfaces met en/of afhankelijkheden van andere ketens in de IT-infrastructuur 4 Customer education and communication a) Algemene voorwaarden otsi b) Productvoorwaarden mobiele applicatie en (betalingsverkeer)diensten c) Documentatie inzake klantenvoorlichting, awareness programma en educatie programma voor klanten d) Klachtenprocedure voor klanten e) Proces voor informatieverstrekking aan klanten, bijvoorbeeld over: • het controleren van de versie van de mobiele applicatie • het waarschuwen voor een update van de mobiele applicatie (bijvoorbeeld bij nieuwe/gewijzigde functionaliteit, zoals limieten) 5 Secure software/application development a) Beleid en proces voor secure software development / software life cycle management aangaande de mobiele applicatie b) Beleid en proces voor change-, test- en release management van de mobiele applicatie (beleid en proces voor updates van mobiele applicaties) c) Beleid en proces voor de uitrol van de mobiele applicatie (via app stores) d) Beleid en proces voor penetratietesten van de mobiele applicatie 6 Customer identification and authentication a) b) c) d) Beleid en proces voor de klantidentificatie Beleid en proces voor het koppelen van het mobiele apparaat en de klant Beleid en proces voor de authenticatie van de klant / mobiel apparaat / bank Beleid en proces voor de autorisatie van transacties (onweerlegbaarheid) 1 DNB toetsingskader mobiele applicaties, versie mei 2014 7 Protection of sensitive data a) Beleid en proces voor encryptie op de OSI –lagen (tussen mobiele applicatie en back-end systemen) b) Beleid voor gebruik van open standaarden (voor encryptie) c) Beleid en proces voor certificaat management d) Beleid voor beschermen vertrouwelijke (persoonlijke) data, bijvoorbeeld maximale sessie duur, sessie time outs, maskeren/verbergen van het wachtwoord / persoonlijke identificatie code tijdens het intypen daarvan 8 Business continuity management Beleid (en standaarden) voor: a) Business Continuity Management b) Business Continuity Plan (business impact analyse, risicoanalyse) kanaal ‘mobiele applicatie’ c) Disaster Recovery Plan (maatregelenanalyse) kanaal ‘mobiele applicatie’ d) Testen van BCP / DRP 9 Monitoring and reporting a) Beleid en proces voor monitoren transacties: • volumes en transactiestromen • detecteren, filteren en blokkeren van verdachte of fraudeleuze transacties • monitoren van informatieverzoeken (bijvoorbeeld opvragen (spaar)saldo) • monitoren van (onjuiste) inlogpogingen b) Beleid en proces voor monitoren IT-infrastructuur. • monitoren van de security en performance van de IT-infrastructuur van het kanaal ‘mobiele applicatie’ • monitoren van ‘illegale / rogue’ apps in de app stores • monitoren penetratietesten mobiele applicatie 10 Incident response Beleid en proces voor: a) b) c) d) Crisis Management Organisatie Security incident / Escalatieprocedures (Dynamisch) afsluiten / blokkeren van (versie van) mobiele applicatie (Dynamisch) afsluiten / blokkeren van (versie van) mobiele apparaten (en versie van besturingssystemen daarvan) e) Dynamisch instellen / verlagen van limieten door otsi 11 Audit a) Periodieke (IT) audits mobiele applicatie b) Overzicht openstaande (IT) audit-issues mobiele applicatie 2