Ivchenko_SICenter
- 1. ДБО – единство противоположностей! Ирина Ивченко Вадим Бадашин
- 2. Дистанционное банковское обслуживание ДБО - система дистанционного обслуживания клиентов, которая обеспечивает доступ ко всем счетам клиента и выполнение операций со всеми счетами клиента без присутствия клиента в банке с использованием информационных технологий и коммуникаций (в частности Интернет) с помощью компьютера или любого другого устройства (планшет, мобильный телефон и т.п.). 01.04.2013 2
- 3. Участники ДБО Клиент Банк 01.04.2013 3
- 4. Используемая модель Клиент Банк Безопасность 01.04.2013 4
- 5. Используемая модель Клиент Банк ДБО Безопасность 01.04.2013 5
- 6. Требования клиента • Возможность работать с любого устройства • Обеспечение доступности сервиса 24х7х365 с гарантией того, что вышел именно на сайт банка • Простота и удобство интерфейса • Отсутствие необходимости долгого ожидания дополнительной информации • Отсутствие необходимости запоминать множество паролей • Гарантия информирования о всех действиях со счетами • Возможность отменить платеж в течение какого-либо промежутка времени • Дешевизна и простота подключения до системы ДБО 01.04.2013 6
- 7. Требования банка • Минимизация затрат при обслуживании клиентов • Надежная аутентификация клиента • Гарантия доступности сервиса • Целостность сообщения • Возможность контроля платежей • Возможность отслеживания действий клиента • Минимальные денежные потери 01.04.2013 7
- 8. Требования безопасности • Гарантия доступности сервиса • Гарантия достоверности сайта банка • Гарантия аутентификации клиента • Гарантия целостности документов • Гарантия конфиденциальности • Гарантия возможности отслеживания действий клиента • Гарантия подтверждения документов (квитовка) 01.04.2013 8
- 9. Гарантия доступности • Система защиты от атак • Поддержка сервера доступа как составляющей части ДБО • Резервирование электропитания, системы кондиционирования, сервера доступа и серверов ДБО • Обеспечение защиты сервера от подмены - введение дополнительной информации, известной только клиенту (оформление своей страницы самим клиентом, введение дополнительных картинок и т.п.) - уникальное имя сайта + + + 01.04.2013 9
- 10. Аутентификация клиента • На стороне клиентской части обеспечить принудительное стирание логина и пароля при выходе из сеанса связи с банком • Использовать аппаратные носители для паролей и ключей с обеспечением анонимности таких носителей • Носители могут быть различными в зависимости от того, для кого они предназначены – физического лица или юридического лица. • Информация, которая записывается на носитель для аутентификации клиента может быть привязана к заранее согласованным с клиентом лимитам платежей – в зависимости от суммы платежа платеж может формироваться с аутентификацией по паролю или по ключу. +/- + + 01.04.2013 10
- 11. Целостность сообщения • Для юридических лиц обязательно использование ЭЦП на платежах • Для физических лиц можно ввести контроль целостности в зависимости от суммы платежа: при сумме платежа менее согласованного заранее лимита используется контрольная сумма (желательно с использованием криптографического алгоритма), при превышении лимита – используется ЭЦП. • ОЧЕНЬ ВАЖНО !!! Все криптографические данные должны храниться на аппаратном носители. Там же должны выполняться криптографические функции – генерация ключей, формирование ЭЦП, подсчет контрольных сумм 01.04.2013 - +/- + 11
- 12. Конфиденциальность сообщения • Сайт должен работать только в режиме https и все сообщения шифроваться - +/- + 01.04.2013 12
- 13. Гарантия подтверждения (квитовка) • Кроме обычного подтверждения о приеме платежного документа необходимо автоматически отсылать дополнительную информацию, например, в виде SMS. Это даст возможность клиенту контролировать ситуацию, что только он лично отсылает платежи • Важный вопрос и о содержании этих SMS, поскольку эти сообщения не являются защищенными. Следует запретить передачу остатка счета и другие критические суммы на мобильный телефон. +/- +/- + 01.04.2013 13
- 14. Контроль операций со стороны клиента • Необходимо установить согласованную с клиентом задержку обработки платежного документа для гарантии того, чтобы клиент мог отменить платеж или изменить его в течение определенного заранее в договоре времени. + +/- - 01.04.2013 14
- 15. Контроль платежей со стороны банка • Клиент не должен иметь прямого доступа к базам данных и не должен самостоятельно выполнять какие-либо операции со своим счетом. По нормативным документам каждый платежный документ должен контролироваться и подписываться операционистом. • Для облегчения организации работ с ДБО можно платежи с суммой, меньшей установленного в договоре с клиентом лимита, переподписывать автоматически с помощью «вертушки». Для сумм, превышающих лимит, обязательно должен присутствовать контроль операциониста. 01.04.2013 - +/- + 15
- 16. Действия клиента • Система ДБО должна вести достаточно подробные журналы выполняемых клиентом действий на стороне банка. Этот журнал должен быть защищен от модификации для гарантии правильности восстановления событий в случае возникновения конфликтных ситуаций между клиентом и банком. - +/- + 01.04.2013 16
- 17. Спасибо за внимание Ирина Ивченко Irina.Ivchenko@sicenter.net +380 67 715-13-69 + 380 50 355-44-62 Вадим Бадашин Vadim.Badashin@sicenter.net +380 50 310-48-18