Дата введения в действие: 24 апреля 2026 года
Версия 1.0 · Pre-launch
Версия 1.0 · Pre-launch
Рекомендации по безопасности
для пользователей платформы
для пользователей платформы
Дата введения в действие: 24 апреля 2026 года
Версия 1.0 · Pre-launch
Версия 1.0 · Pre-launch
Рекомендации по безопасности
для пользователей платформы
для пользователей платформы
HeadingDoc mob
Вступление
Настоящие Рекомендации адресованы уполномоченным представителям клиентов АО «ТМГТ» — сотрудникам банков, инвестиционных фондов, корпораций и квалифицированных инвесторов, работающим с Личным кабинетом, мобильным приложением и API платформы от имени своей организации. Следование этим рекомендациям — важная часть совместной ответственности за безопасность активов и данных, находящихся под управлением платформы.
АО «ТМГТ» применяет многоуровневую систему защиты на стороне инфраструктуры: многофакторную аутентификацию, подпись операций с использованием УКЭП, аппаратные HSM и MPC для защиты ключевого материала, непрерывный мониторинг и взаимодействие с ФинЦЕРТ Банка России. Вместе с тем значительная часть рисков связана с действиями конечных пользователей — и именно эти риски настоящий документ помогает снизить.
Рекомендации не заменяют Пользовательское соглашение, Правила оказания услуг и внутренние регламенты организации-клиента; при противоречии применяются условия соответствующего договора и применимое законодательство Российской Федерации.
АО «ТМГТ» применяет многоуровневую систему защиты на стороне инфраструктуры: многофакторную аутентификацию, подпись операций с использованием УКЭП, аппаратные HSM и MPC для защиты ключевого материала, непрерывный мониторинг и взаимодействие с ФинЦЕРТ Банка России. Вместе с тем значительная часть рисков связана с действиями конечных пользователей — и именно эти риски настоящий документ помогает снизить.
Рекомендации не заменяют Пользовательское соглашение, Правила оказания услуг и внутренние регламенты организации-клиента; при противоречии применяются условия соответствующего договора и применимое законодательство Российской Федерации.
1. Управление логинами и паролями
Логин и пароль — удобный способ защиты доступа к системам, однако пользователи нередко подвергают свои учётные записи риску из-за небрежного обращения с учётными данными. Важно осмотрительно выбирать и использовать логины и пароли и всегда сохранять их конфиденциальность.
Рекомендации
- Надёжные логин и пароль — первый шаг к защите вашей конфиденциальной информации. Надёжный пароль — такой, который трудно определить путём подбора или с помощью автоматизированных программ.
- Логин и пароль должны отличаться друг от друга.
- Логин и пароль должны содержать комбинацию строчных и прописных букв, цифр и специальных символов. Чем длиннее — тем надёжнее; минимальная рекомендуемая длина пароля — 14 символов.
- Если вы работаете с несколькими банковскими или финансовыми сервисами онлайн, используйте уникальные логины и пароли для каждого из них. При использовании одних и тех же учётных данных во всех сервисах компрометация одного аккаунта может привести к потерям во всех. Это менее удобно, но существенно безопаснее.
- При выборе логина не используйте своё имя, фамилию или их комбинацию. Такой логин легко угадать.
- Не используйте в качестве пароля слово «password», «пароль», «qwerty», «123456» и подобные распространённые варианты — они первыми проверяются автоматизированными программами.
- Немедленно смените пароль, если есть подозрение, что кто-либо мог его узнать. То же касается логина.
- Выбирайте пароль, который сложно угадать. Не используйте дату рождения, годовщину свадьбы, номер телефона, имя ребёнка, клички домашних животных и иную информацию, которую можно найти в открытых источниках или социальных сетях.
- Защищайте логин и пароль. Не записывайте их на бумаге. Если запись необходима — храните её в защищённом месте без сопутствующей идентифицирующей информации (например, без названия банка или сервиса рядом с логином). Предпочтительно использовать менеджер паролей с мастер-паролем (KeePassXC, Bitwarden, Passwork и аналогичные).
- Никогда никому не сообщайте свой пароль — в том числе сотрудникам АО «ТМГТ», банка, налоговой или иных организаций. Легитимные организации никогда не запрашивают пароль ни по телефону, ни по электронной почте, ни в мессенджере.
- Не используйте часть вашего адреса электронной почты до символа «@» в качестве логина или пароля.
- Регулярно меняйте логин и пароль и избегайте повторного использования ранее применявшихся паролей. Даже надёжный пароль в итоге может быть подобран — при наличии достаточного времени и вычислительных мощностей любой пароль может быть определён.
- Активируйте многофакторную аутентификацию (MFA) там, где это возможно. В качестве второго фактора предпочтительны приложения-аутентификаторы (TOTP) и аппаратные ключи (YubiKey, Rutoken ЭЦП), а не SMS-коды — SMS-канал уязвим для перехвата и атак с подменой SIM-карты.
2. Противодействие хищению персональных данных
Ваши персональные данные — это ценный ресурс, который нуждается в защите. Если злоумышленники завладеют вашими персональными данными, они смогут не только похитить средства, но и оформить кредит на ваше имя, открыть счета, изменить сведения о вас (включая адрес для корреспонденции) и совершить преступления, используя ваше имя. При работе от имени организации-клиента компрометация ваших персональных и корпоративных учётных данных дополнительно ставит под угрозу активы и репутацию вашей компании.
Хищение персональных данных — один из наиболее быстро растущих видов преступлений в сфере цифровой экономики. По данным ФинЦЕРТ Банка России, кибермошенничество ежегодно затрагивает миллионы граждан Российской Федерации. Восстановление репутации и возврат похищенного после хищения персональных данных — трудоёмкий и длительный процесс. Обеспечьте защиту ваших данных.
Хищение персональных данных — один из наиболее быстро растущих видов преступлений в сфере цифровой экономики. По данным ФинЦЕРТ Банка России, кибермошенничество ежегодно затрагивает миллионы граждан Российской Федерации. Восстановление репутации и возврат похищенного после хищения персональных данных — трудоёмкий и длительный процесс. Обеспечьте защиту ваших данных.
Способы хищения персональных данных
- Поиск в мусоре (dumpster diving) — извлечение из мусора квитанций по картам, банковских реквизитов, заполненных форм и иной информации.
- Скимминг — считывание данных платёжных карт с помощью специального устройства в момент проведения операции через терминал или банкомат.
- Фишинг — выдача себя за банк, государственный орган или компанию (в том числе за АО «ТМГТ») с запросом персональных или учётных данных по электронной почте, в SMS, в мессенджерах и социальных сетях.
- Социальная инженерия — манипуляции в формате телефонных звонков с представлением себя «сотрудником банка», «сотрудником службы безопасности», «сотрудником Банка России» или «следователем». Цель — спровоцировать срочную передачу учётных данных, кодов подтверждения или перевод средств.
- Смена адреса — переадресация вашей корреспонденции на иной адрес путём подачи поддельного заявления о смене адреса.
- Классическое хищение — хищение кошелька, сумки, почтовой корреспонденции с банковскими выписками, пре-одобренными кредитными предложениями, новыми чеками или налоговой информацией; хищение персональных данных через подкуп сотрудников, имеющих к ним доступ.
- Сбор под ложным предлогом (pretexting) — использование надуманных обстоятельств для получения вашей персональной информации у финансовых организаций и операторов связи.
- Подглядывание через плечо (shoulder surfing) — фиксация данных карты, PIN-кода или вводимого пароля при проведении операции по телефону, в банкомате или на рабочем месте в общественном пространстве.
Риски, специфичные для цифровых активов
- Компрометация секретных фраз (seed phrases) и приватных ключей некастодиальных кошельков. Никогда не вводите seed-фразу в веб-формы, не передавайте её в мессенджерах и не сохраняйте её в облачных сервисах (Google Drive, iCloud, Яндекс.Диск).
- Вредоносные расширения браузера и «клипперы» — программы, подменяющие адрес получателя в буфере обмена при копировании. Всегда визуально сверяйте первые и последние символы адреса получателя перед подтверждением операции.
- Поддельные мобильные приложения. Устанавливайте мобильное приложение АО «ТМГТ» только из официальных источников: RuStore, App Store, Google Play, AppGallery. Проверяйте имя издателя и количество загрузок.
- Мошеннические сайты, имитирующие Личный кабинет АО «ТМГТ». Всегда проверяйте точное написание доменного имени и наличие актуального TLS-сертификата. Переходите по ранее сохранённой закладке, а не по ссылкам из писем и сообщений.
Признаки того, что ваши персональные данные могли быть похищены
- Вам неожиданно отказывают в предоставлении кредитной услуги без очевидных оснований.
- Ваши регулярные финансовые выписки перестали приходить вовремя.
- Вам поступает счёт или списание за услугу или товар, который вы не заказывали и не получали.
- В кредитной истории появляются обращения, которых вы не совершали.
- Приходят SMS-уведомления о входе в сервисы, которые вы не инициировали, или о попытках подтверждения операций, которые вы не совершали.
- Вам поступают письма из налоговой инспекции или от судебных приставов по обязательствам, которых у вас нет.
Первые действия при подозрении на хищение персональных данных
- Подайте заявление в полицию или в Управление «К» МВД России о компьютерном преступлении. Получите талон-уведомление с номером заявления.
- Свяжитесь с вашими финансовыми организациями (банки, брокер, АО «ТМГТ»). По «Кабинету клиента» АО «ТМГТ» — используйте канал экстренной связи, указанный в договоре или в соответствующем разделе Личного кабинета.
- Уведомьте всех лиц и организации, с которыми у вас имеются финансовые отношения.
- Закройте или заблокируйте все затронутые счета и карты. Отметьте, что закрытие происходит по инициативе клиента и в связи с подозрением на мошенничество.
- Уведомьте бюро кредитных историй. В Российской Федерации действуют несколько квалифицированных бюро кредитных историй — перечень актуальных БКИ ведёт Банк России. Проверить свою кредитную историю можно бесплатно дважды в год через портал Госуслуг.
- Установите дополнительные пароли и кодовые слова для телефонных обращений в банки и брокеров.
- Разместите отметку (сигнал тревоги) о возможном мошенничестве в бюро кредитных историй. Отметку обычно необходимо продлевать каждые 90 дней.
- Сообщите о похищенных чеках, платёжных картах и иных платёжных инструментах в выдавшие их организации.
- Запрашивайте регулярные копии кредитной истории до полного разрешения ситуации.
- Проверьте на сайте Почты России и в отделении, не были ли выполнены несанкционированные перенаправления вашей корреспонденции.
- Все телефонные обращения сопровождайте письменными запросами (по электронной почте с УКЭП или заказными письмами) и сохраняйте всю переписку.
- Воспользуйтесь сервисом «Самозапрет на выдачу кредитов» через портал Госуслуг — это снижает риск оформления кредитов на ваше имя мошенниками.
3. Действия при подозрении на мошенничество
Уведомьте АО «ТМГТ», если у вас есть основания полагать, что ваш пароль к Личному кабинету или к API-ключу стал известен третьему лицу. Также уведомьте нас, если кто-либо перевёл или может попытаться перевести активы с вашего счёта без вашего разрешения либо если вы подозреваете иную мошенническую активность в отношении вашего счёта. Своевременное уведомление существенно повышает шансы на блокировку подозрительных операций и сохранение активов.
Экстренные каналы связи АО «ТМГТ» указаны в вашем договоре, в Центре доверия на сайте Общества и в разделе «Безопасность» Личного кабинета. При подозрении на компрометацию учётных данных — до уведомления АО «ТМГТ» смените пароль и отозвите активные API-ключи и токены самостоятельно через Личный кабинет, если у вас сохраняется к нему доступ.
Уполномоченным представителям организаций-клиентов: дополнительно незамедлительно уведомите службу информационной безопасности вашей организации и ответственное лицо по договору с АО «ТМГТ» в соответствии с внутренним регламентом вашей компании.
Экстренные каналы связи АО «ТМГТ» указаны в вашем договоре, в Центре доверия на сайте Общества и в разделе «Безопасность» Личного кабинета. При подозрении на компрометацию учётных данных — до уведомления АО «ТМГТ» смените пароль и отозвите активные API-ключи и токены самостоятельно через Личный кабинет, если у вас сохраняется к нему доступ.
Уполномоченным представителям организаций-клиентов: дополнительно незамедлительно уведомите службу информационной безопасности вашей организации и ответственное лицо по договору с АО «ТМГТ» в соответствии с внутренним регламентом вашей компании.
4. Рекомендации по защите персональных данных
- Никогда не сообщайте номера платёжных карт, банковских счетов, паспортные данные, СНИЛС, ИНН, коды из SMS и иную персональную финансовую информацию в ответ на непрошенные запросы по телефону или по электронной почте — даже если звонящие утверждают, что вы выиграли приз, получили компенсацию, или что «с вашим счётом что-то не так». Положите трубку и перезвоните по номеру, указанному на официальном сайте организации.
- Уничтожайте любые документы с финансовой информацией перед тем, как выбросить их. Это касается квитанций платёжных карт, банкоматных чеков, пре-одобренных кредитных предложений, которыми вы не планируете воспользоваться. Используйте уничтожитель бумаги (шредер).
- Регулярно проверяйте свою кредитную историю, чтобы убедиться, что никто не пользуется вашими персональными данными. Запрашивайте отчёты из всех квалифицированных бюро кредитных историй. Проверить, в каких БКИ хранится ваша кредитная история, можно через портал Госуслуг.
- Оформляйте онлайн-покупки только на защищённых сайтах (с действующим TLS-сертификатом и корректным доменным именем) и оплачивайте их платёжной картой, а не прямым банковским переводом — это даёт возможность инициировать процедуру chargeback в случае мошенничества.
- Носите с собой только необходимые документы и карты. Не носите СНИЛС и оригинал паспорта без необходимости. Не делайте фото паспорта на личном смартфоне без дополнительных мер защиты — такие фото часто оказываются в облачных синхронизациях.
- При утилизации старого компьютера или смартфона используйте программы полной перезаписи носителя («Wipe Utility»). Простое удаление файлов и форматирование недостаточны — данные можно восстановить.
- Пользуйтесь банкоматами только крупных банков, предпочтительно расположенных в отделениях. Прерывайте операцию, если рядом стоит посторонний. Следите за обстановкой, особенно в тёмное время суток. Доставайте карту заранее, чтобы не искать её у банкомата. Получив наличные, не пересчитывайте их на месте — отойдите или пересчитайте в автомобиле. При использовании банкомата с проездом на автомобиле убедитесь, что двери закрыты, а окна пассажира подняты.
- Если банкомат, платёжный терминал или кард-ридер выглядит подозрительно — не пользуйтесь им. Злоумышленники успешно подменяют банкоматы и кассовые терминалы на подделки со скиммерами и накладными клавиатурами.
- Не используйте бланки платёжных поручений и корешки банковских квитанций для посторонних заметок и не передавайте их третьим лицам — они содержат персональные данные, которые не предназначены для разглашения.
- Относитесь к чекам и платёжным поручениям как к деньгам — храните их в защищённом месте, когда они не используются.
- Заполняйте платёжные документы только шариковой ручкой — никогда карандашом. При указании суммы прописью доводите чертой оставшееся пустое пространство до конца строки, чтобы никто не мог дописать цифры. При указании получателя не используйте сокращения.
- Контролируйте почтовый ящик — знайте ваши биллинговые циклы и запрашивайте статус у организаций, если выписки не приходят вовремя. Отсутствие ожидаемой корреспонденции может быть признаком того, что ваша персональная информация скомпрометирована и корреспонденция перенаправлена.
- При работе с публичным Wi-Fi (аэропорты, кафе, гостиницы) не выполняйте банковские операции и не вводите учётные данные. При необходимости используйте VPN. Предпочтительно использовать мобильный интернет оператора связи или доверенную корпоративную сеть вашей организации.
- Обновляйте операционную систему, браузер и приложения. Большинство успешных атак эксплуатируют уязвимости, для которых производитель уже выпустил исправления.
5. Дополнительные ресурсы
АО «ТМГТ», легитимные финансовые организации, Банк России, налоговые органы и государственные органы НИКОГДА не направляют непрошенных обращений с запросом логина, пароля, кодов подтверждения из SMS или иной учётной информации. Важно, чтобы все пользователи сервисов платформы были осведомлены о подобных видах мошенничества. О подозрительных электронных письмах, SMS, звонках, сообщениях в мессенджерах и иной подозрительной активности или запросах можно и следует сообщать:
Дополнительную информацию о безопасности использования финансовых сервисов и защите от мошенничества можно получить на следующих ресурсах:
- в АО «ТМГТ» — через экстренный канал связи, указанный в договоре и в Личном кабинете;
- в ваш обслуживающий банк — по номеру, указанному на оборотной стороне платёжной карты или на официальном сайте банка;
- в Банк России — через приёмную интернет-обращений на официальном сайте cbr.ru;
- в ФинЦЕРТ Банка России — по каналу, указанному на сайте Банка России (для юридических лиц — через АСОИ ФинЦЕРТ);
- в Управление «К» МВД России — через приёмную интернет-обращений МВД или при личном обращении в территориальный орган внутренних дел;
- на портал Госуслуг — в соответствующие сервисы по противодействию мошенничеству;
- в Роскомнадзор — при выявлении фишинговых сайтов или несанкционированного распространения персональных данных.
Дополнительную информацию о безопасности использования финансовых сервисов и защите от мошенничества можно получить на следующих ресурсах:
- сайт Банка России (cbr.ru) — раздел, посвящённый кибербезопасности и противодействию мошенничеству на финансовом рынке;
- портал «Мои финансы» (моифинансы.рф) — материалы по финансовой грамотности;
- сайт Роскомнадзора (rkn.gov.ru) — рекомендации по защите персональных данных;
- портал Госуслуг (gosuslugi.ru) — сервисы самозапрета на выдачу кредитов, проверки кредитной истории и заявлений в государственные органы;
- Центр доверия АО «ТМГТ» — актуальные сертификаты, статус аудитов, регламенты безопасности платформы.
Настоящий документ является публичным документом АО «ТрансМашГазТокен». Действующая редакция доступна на официальном сайте Общества. При противоречии между настоящим документом и иными документами АО «ТМГТ» применяются условия документа более высокого уровня (договор → публичная оферта → политика → рекомендации).
© 2026 АО «ТрансМашГазТокен». Все права защищены.
© 2026 АО «ТрансМашГазТокен». Все права защищены.
© 2025 TMGT (TransMashGazToken). Все права защищены. Продукты и услуги могут быть недоступны в вашей юрисдикции. Информация носит образовательный характер и не является офертой, приглашением или рекомендацией покупать или продавать какие-либо продукты или услуги, либо использовать любую стратегию. Где применимо, в рамках OECD Crypto-Asset Reporting Framework (CARF), вступающего в силу с 2026 года, операции и владения криптоактивами могут передаваться в налоговые органы в агрегированном виде по типам активов через нашу канадскую структуру. Полные условия: Master Legal Agreement, Privacy Policy, Risk Disclosure Statement, Acceptable Use Policy, Principles for Complaints and Dispute Resolution, Reverse Solicitation Policy, Global Compliance Overview и Restricted Jurisdictions. Доступ из ограниченных регионов запрещён.