(субагент), оператор услуг платежной инфраструктуры обеспечивают:
использование технических средств защиты информации, предназначенных для выявления вредоносного кода и для предотвращения воздействия вредоносного кода на объекты информационной инфраструктуры (далее — технические средства защиты информации от воздействия вредоносного кода), на средствах вычислительной техники, включая банкоматы и платежные терминалы, при наличии технической возможности;
регулярное обновление версий технических средств защиты информации от воздействия вредоносного кода и баз данных, используемых в работе технических средств защиты информации от воздействия вредоносного кода и содержащих описание вредоносных кодов и способы их обезвреживания;
функционирование технических средств защиты информации от воздействия вредоносного кода в автоматическом режиме, при наличии технической возможности.
По смыслу данные требования видимо относятся к необходимости использовать на банкоматах антивирусные решения («регулярное обновление… баз данных»). Но для банкоматов их применение является нецелесообразным: банкомат является закрытой средой с ограниченным и заранее известным набором программ, служб, сервисов. Антивирусные программы распознают только уже известное вредоносное программное обеспечение и при этом требуют постоянного обновления своих баз. Для этого, во-первых, необходимо обеспечить канал связи, а во-вторых, неизвестно (так как тестирование никто не проводил), как поведет себя обновленный антивирус по отношению к прикладным программам банкомата. Поэтому более правильно использовать решения по обеспечению контроля целостности программного обеспечения (белые списки). Производители банкоматов такие решения предоставляют: Diebold — SEP 11 (Symantec Endpoint Protection 11), NCR — Solidcore for APTRA. Существуют также предложения сторонних производителей, например GMV — checker ATM security, SafenSoft — TPSecure.
2.7.4. При наличии технической возможности оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают выполнение:
предварительной проверки на отсутствие вредоносного кода программного обеспечения, устанавливаемого или изменяемого на средствах вычислительной техники, включая банкоматы и платежные терминалы;
проверки на отсутствие вредоносного кода средств вычислительной техники, включая банкоматы и платежные терминалы, выполняемой после установки или изменения программного обеспечения.
Проверка на отсутствие вредоносного кода программного обеспечения перед установкой его на банкоматы является необходимой процедурой и должна выполняться в штатном режиме. Чтобы исключить риск случайного заражения банкоматов вредоносным программным обеспечением со стороны инженерно-сервисных служб, установку программного обеспечения необходимо осуществлять с неперезаписываемых носителей информации (CD, DVD).