Мобильный банкинг и 63-ФЗ: закон надо чтить!
advertisement
Мобильный банкинг и 63-ФЗ: закон надо чтить! Максим Болышев, заместитель директора департамента систем электронного банковского обслуживания 2014 Тенденции рынка 1. Расширение спектра предлагаемых услуг и продуктов со стороны банков. 2. Развитие и проникновение Интернета позволяет организовать всех участников данного процесса в единое информационное пространство. 3. Расширение сферы использования электронной подписи (ЭП). 4. С 2011 года наличие законодательной базы – Федерального закона № 63-ФЗ. 5. Популяризация и расширение рынка мобильных устройств (смартфоны, планшеты). Юридическая сторона • Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» Статья 6 данного Закона регламентирует условия признания электронных документов, подписанных подписью электронного вида, равнозначными документам на бумажном носителе, подписанным собственноручно. • Обязательная сертификация решения в Федеральной службе по техническому и экспортному контролю (ФСТЭК). Федеральный закон №63 Федеральный закон № 63 «Об электронной подписи» от 6 апреля 2011 г. устанавливает три вида электронной подписи (ЭП): • Простая ЭП • Усиленная ЭП • Усиленная квалифицированная ЭП Комплексный подход Комплексный подход к безопасности ДБО • Архитектура решения • Шифрование канала • Аутентификация пользователей • Подписание ЭП всех значимых документов • ГОСТ СКЗИ • Антифрод-терминалы • Одноразовые пароли • Оповещения Уровень ОС Защита и нападение Уровень защиты Уровень атаки Одноразовый пароль Атака «человек в середине», перехват документа/пароля при передаче ЭЦП с хранением ключей на незащищенном носителе Хищение ключей ЭЦП с незащищенных носителей ЭЦП с хранением ключей на защищенном носителе Хищение закрытых ключей ЭЦП из оперативной памяти Персональное аппаратное СКЗИ (смарт-карта, токен) Несанкционированный доступ к криптографическим возможностям СКЗИ Сочетание аппаратного СКЗИ и одноразовых паролей (OTP) Дополнительное подтверждение подписанта Применение внешнего устройства с возможностью визуального контроля перед подписью ЭЦП Визуальный контроль Интернет-клиент и мобильный банкинг • Большая часть кредитных учреждений предоставляет услуги интернетбанкинга • Только половина банков предоставляет услугу мобильного банкинга Аналитическое агентство Markswebb Rank & Report публикует результаты установочной части исследования дистанционного банковского обслуживания физических лиц в России, проведенной в январе 2014 года. Мобильный банкинг Физлица Юрлица eToken PASS Решает проблемы: • • Кражи регистрационных данных клиента Перехвата SMS с одноразовым паролем • Мобильности клиента (ПК, телефон) Плюсы Минусы • Безопасность – ключ генерации OTP хранится в токене • Аутентификация в приложении • Для интернет- и мобильного банкинга (ПК / телефон) • Невысокая цена • Только аутентификация клиента • Подтверждение факта транзакции, а не ее содержания JaСarta JaCarta – новое поколение смарт-карт, USB- и Secure MicroSD-токенов для строгой аутентификации, электронной подписи и безопасного хранения ключей, цифровых сертификатов • • • • Аппаратная реализация российской криптографии Усиленная электронная подпись с неизвлекаемым ключом Строгая аутентификация пользователей Безопасное хранение ключей, паролей, цифровых сертификатов • Сертификат соответствия ФСБ • Решения для мобильных платформ iOS Android Windows Средства безопасности для мобильного банкинга • • • • • Строгая аутентификация пользователей Биометрическая идентификация пользователей Электронная подпись для систем электронного документооборота Безопасное хранение ключей, цифровых сертификатов Неотчуждаемость носителя от его владельца Средства безопасности для мобильного банкинга • Электронная подпись • Безопасное хранение ключей VPN • Для СЭД в качестве персонального средства ЭП с неизвлекаемым ключом ЭП Поддержка платформ • Возможность распространения приложений через AppStore, так как криптография находится на отчуждаемом носителе – карте, а приложение содержит только вызовы • Минимальное влияние при установке обновлений и новых версий ОС. Криптографические функции реализованы на карте, а не в iOS-приложении. Внесение изменений в приложение не влияет на реализацию криптографии на карте InterBank Mobile • InterBank API — комплексный интеграционный модуль, позволяющий организовать взаимодействие приложений с ядром и обеспечить доступ ко всем его прикладным функциям из нативных приложений для различных мобильных платформ • Нативные приложения InterBank Mobile для мобильных платформ (в частности, для Android и iOS), обеспечивающие взаимодействие с пользователем и работу со средствами криптозащиты InterBank Mobile 1. Технологическое развитие • Смартфоны, планшеты, Интернет… 2. Законодательная база • Федеральный закон № 63-ФЗ 3. Наличие решения по безопасности • JaCarta 4. InterBank – комплексное решение • Интернет-клиент • Мобильный банкинг • Фронт-офис Спасибо за внимание! Вопросы?
