В случаях когда поставщик услуг делегирует проведение идентификации и (или) аутентификации ДТС, он должен руководствоваться следующими подходами для минимизации риска использования сторонних поставщиков услуг:
- поставщик услуг несет ответственность за управление рисками делегирования идентификации и (или) аутентификации ДТС;
- поставщик услуг должен включить в систему управления рисками сторонних поставщиков услуг риски делегирования проведения идентификации и (или) аутентификации, в том числе в части политики и процессов по выявлению и снижению рисков, управлению ими, мониторингу и отчетности о данных рисках;
- поставщик услуг должен проводить оценку рисков делегирования проведения идентификации и (или) аутентификации до заключения договора, а также периодически проводить оценку рисков после заключения договора;
- поставщик услуг должен получить от ДТС подтверждение наличия действующей лицензии на осуществление лицензируемой деятельности, в случаях если это предусмотрено законодательством Российской Федерации или нормативными актами Банка России;
- поставщик услуг должен определить в договоре с ДТС перечень финансовых операций и соответствующие им УДИ и (или) УДА, которые будут использоваться при делегировании идентификации и (или) аутентификации;
- поставщик услуг должен получить от ДТС документированное подтверждение соответствия составу мер, приведенных в таблицах 3 и (или) 6, 7, для наиболее высокого утвержденного УДИ и (или) УДА или компенсирующим мерам, а также требованиям ГОСТ Р 57580.1-2017, в случаях если это предусмотрено законодательством Российской Федерации или нормативными актами Банка России;
- поставщик услуг совместно с ДТС должен обеспечить реализацию мер, приведенных в таблице 8;
- поставщик услуг должен определить в договоре с ДТС зоны ответственности между поставщиком услуг и ДТС для случаев непреднамеренных ошибок или инцидентов защиты информации при проведении идентификации и (или) аутентификации;
- поставщик услуг должен определить в договоре с ДТС порядок информирования о выявленных инцидентах защиты информации при проведении идентификации и (или) аутентификации и реагирования на них.
Состав мер защиты информации, применяемый при делегировании идентификации и (или) аутентификации, приведен в таблице 8.