Sistemele de plăţi cu acces la distanţă sunt sisteme bancare care permit accesul electronic, de la distanţă, la conturile bancare, în vederea vizualizării de situaţii şi operării de tranzacţii. Astfel de sisteme sunt reprezentate de:

• Internet Banking – conexiunile la sistem se realizează prin internet, folosind un browser internet;
• Home Banking – accesul se face prin internet sau prin dial-up printr-o aplicaţie client dedicată, instalată pe calculatorul clientului;
• Mobile Banking – accesul se face folosind un terminal de telefonie mobilă.

Conform ordinului MCTI nr. 389/2007, aceste sisteme trebuie să fie avizate anual de către Ministerul Comunicaţiilor şi Societăţii Informaţionale, pâna la 30 iunie.

Conform ordinului nr. 389/2007, emis de Ministerul Comunicaţiilor şi Tehnologiei Informaţiei privind procedura de avizare a instrumentelor de plată cu acces la distanţă, de tipul aplicaţiilor Internet-banking, Home-banking, sau Mobile-Banking, documentele ce trebuie depuse la MCTI de către BANCA sunt următoarele (conform articolului 5 din ordin) :

• cerere adresată în acest scop MCTI conform modelului;
• licenţa de funcţionare a băncii, acordată de BNR sau similar pentru băncile înregistrate în Uniunea Europeană;
• descrierea funcţională – întocmită de bancă;
• planul de securitate al sistemului informatic, semnat de emitent – întocmit de bancă;
• certificări din punct de vedere al securităţii, asupra soluţiei informatice sau produselor conţinute în aceasta, emise de organizaţii naţionale sau internaţionale recunoscute, acolo unde există;
• Opinia de audit semnată de un auditor CISA;
• Declaraţia de independenţă a auditorului.

Domeniul de audit: Sistemul de management al securităţii informaţiei pentru sistemele de plăţi cu acces la distanţă (Internet, Mobile şi Home Banking), incluzând planul de securitate şi soluţia informatică prin intermediul căreia sunt oferite instrumentele de plată cu acces la distanţă, conform ordinului MCTI nr. 389 / 2007.

În vederea creării unei opinii obiective şi a unui raport de audit cuprinzător, echipa de audit va realiza următoarele activităţi:

Inţelegerea organizaţiei - strângerea de informaţii relevante despre client pentru utilizarea în cadrul etapelor următoare; Aceste informaţii includ: detalii despre organizarea internă, detalii despre organizarea IT, despre tehnologii şi sistemele folosite, modul de funcţionare al sistemelor din cadrul domeniului de audit.

În mod normal, auditorul programează interviuri cu persoanele responsabile desemnate de către client, sau, dupa caz, utilizează chestionare pentru fiecare secţiune în parte. Tot în această etapă se va realiza o listă cu rolurile şi responsabilităţile personalului clientului în administrarea şi operarea sistemelor ţintă.

Analiza documentaţiei relevantă - evaluarea conformităţii documentaţiei clientului cu cerinţele specificate de standardele în domeniu;

Analiza de risc – definirea expunerii pe care o au sistemul şi informaţiile gestionate la riscuri privind securitatea informaţiilor;

În vederea realizării acestei analize de risc, se realizează următoarele:

• Identificarea elementelor analizate: sisteme, aplicaţii, procese, oameni;
• Identificarea vulnerabilităţilor şi a ameninţărilor;
• Cuantificarea şi măsurarea scenarilor de risc;
• Identificarea controalelor aplicabile;
• Stabilirea registrului de riscuri şi identificarea riscurilor reziduale sau a scenariilor necotrolate.

Definire program audit - definirea de obiective de control şi de verificări care se vor întrebuinţa în verificările la faţa locului;

Auditul sistemului - echipa de auditori întreprinde evaluările şi testele prevăzute în programul de audit, cu scopul de a verifica atingerea obiectivelor de control stabilite;

Acesta cuprinde 7 componente principale:

• Revizuirea controalelor tehnice implementate la nivelul aplicaţiilor;
• Revizuirea controalelor tehnice implementate la nivelul serverelor ce susţin sistemele ţintă;
• Revizuirea controalelor tehnice implementate la nivelul infrastructurii de reţea;
• Revizuirea controalelor de acces fizic;
• Revizuirea procedurilor operaţionale ale sistemelor;
• Revizuirea procedurilor de mentenanţă şi recuperare în caz de dezastru;
• Revizuirea controalelor tehnice implementate la nivelul staţiilor de lucru.

Raportarea – pregătirea opiniei de audit şi a raportului de audit, care documentează operaţiunile şi testele întreprinse precum şi rezultatele obţinute.

Raportul de audit. Acest livrabil documentează operaţiunile şi testele intreprinse.

• Sunt documentate neconformităţile, observaţiile şi recomandările pentru îmbunătăţire;
• Neconformităţile reprezintă neconcordanţe între sistemul existent cu documentaţia pregatită de client sau aspecte care, în mod evident, încalcă condiţiile optime de securitate;
•  Observaţiile reprezintă aspecte care  duc la periclitarea stării de securitate a sistemului şi care pot conduce, în anumite condiţii, la nerespectarea condiţiilor optime de securitate;

Opinia auditorului. Opinia de audit va fi de unul din cele trei tipuri: 

• Opinie negativă de audit – atunci când, la sfârşitul perioadei de audit există una sau mai multe neconformităţi.
• Opinie calificată de audit (cu rezerve) – atunci când există una sau mai multe observaţii la sfârşitul perioadei de audit.
• Opinie de audit – atunci când la sfârşitul perioadei de audit nu persistă nicio observaţie sau neconformitate.