Какие новые решения предлагает рынок банковской
advertisement
Какие новые решения предлагает рынок банковской информатизации? Мобильный банкинг: Направления развития «Браузер» «Карта в телефоне» «Телефон – терминал» Алексей Казарцев, к.т.н Мобильный банкинг. Наш опыт построения систем. Наша команда с 2007 года вовлечена в процесс создания различных систем интернет, SMS и мобильного банкинга, работающей со всеми распространенными платформами: Iphone\IPad, Android, Windows Mobile\ Windows Phone 7, J2ME. В процессе создания разработок мы приобрели определенный опыт, который позволяет нам сделать некоторые выводы о развитии систем мобильного банкинга. Все, что будет представлено ниже основано на нескольких успешных коммерческих реализациях как в банках, предоставляющих возможность своим клиентам управлять счетами, делать платежи и переводы посредством мобильного телефона, так и в небанковских организациях, осуществляющих прием платежей и переводы. Общие свойства систем. Потребности банков 1. Платформы: Iphone/Ipad, – Windows Mobile/Phone, – Android, – Java (J2ME); 2. Безопасность: Стандарты (ГОСТ, PCI DSS), Устойчивые алгоритмы защиты данных (шифрования): 3DES, RSA1024. Системы аутентификации: MMA, OATH. 3. Интеграция: с процессинговыми системами, по своим картам (SOAP, ISO), с процессинговыми системами, по «чужим картам» картам Visa, Master Card… (ISO, Base1), с АБС и ритейловыми системами в онлайне (SOAP, XML), с шинами передачи данных, работающими с банковскими и платежными информационными системами (XML). 4. Размещение на ApStore, Google Play, WMP. еще… мобильный сайт? – Различия систем. какой банк что строит. 1. Браузер: аналог сайта, логин-пароль. оптимален «онлайнового банка» с развитой системой Интернет - банкинга, – прост и быстр в построении и внедрении, – безопасность: так же как WEB-банкинг (SSL, HTTPS), – интегрирован с ИС банка также как WEB-банкинг, – неудобства для клиента (логин-пароль, одноразовые пароли, перехват sms); 2. Карточная система: «карта в телефоне», PIN. подходит для банка, который активно развивает карточную эмиссию и хорошо вложился в процессинговый центр, безопасность PCI DSS: 3DES/RSA1024, MMA/OATH, – интегрирован с ИС банка через ПЦ, – эмитируется и персонализуется как карта (ПИН-конверт); 3. Полнофункциональная система: «телефон – терминал» подходит для банка, который планирует новую эмиссию, безопасность PCI DSS: 3DES/RSA1024, MMA/OATH, – интегрирован с ИС банка (SOAP, ISO, XML), – эмитируется и персонализуется «по воздуху» – «до основанья, а затем…» – Системы подробнее. «Браузер» Клиентские интерфейсы J2ME Iphone Ipad Android WEB SSL, HTTPS WEB-сервисы банка, шина… (элемент ИС банка) кто: Хенди-Банк, Тиньков, ВТБ-24 Система Интернетбанкинга Интерфейс к интеграторам (переводы, платежи) Интерфейс к АБС Запрос баланса Безопасность: Логин-ПарольОдноразовый пароль подсистема АБС подсистема ПЦ Подсистема Переводов/платежей Запрос выписки Списание со сч. Зачисление Интерфейс к ПЦ Списание (Debit) Зачисление (Credit) Баланс (Balance) Выписка (Statement) Пример браузера: Handy Bank Система HandyBank –интернет-банковский сервис, предоставляемый любым из банков-участников Системы своему клиенту – физическому лицу. Позволяет клиенту совершать платежи со счета банковской карты, не передавая ни номера карты, ни PIN-кода к ней. Приложения Iphone\Ipad и Android, позволяют осуществлять гибкую настройку состава платежей и переводов, меню клиента, информационных сервисов и другого контента с сервера банка, что придает системе значительную гибкость. еще… ТКС IPHONE \ IPAD ANDROID Системы подробнее. «Карта в телефоне» Клиентские интерфейсы J2ME Iphone Ipad Android Подсистема криптозащиты и аутентификации ПЦ (PIN, MMA) кто: производители ПО для ПЦ ПЦ банка Клиентский профиль Операции по картам Списание (Debit) Зачисление (Credit) Баланс (Balance) Выписка (Statement) подсистема АБС Подсистема Переводов/платежей Интерфейс к интеграторам (переводы, платежи) Интерфейс к АБС Запрос баланса Запрос выписки Списание со сч. Зачисление БД ПЦ Пример «Карта в телефоне»: Ханты-Мансийский банк Приложение разработано для взаимодействия с системой Way4 Cards (Open Way) и соответствует стандарту PCI DSS. Безопасность: Шифрованный канал: 3DES (3x64), аутентификация: Master Card Mobile Authentication (MMA). Клиенты банка имеют возможность проводить информационные (запрос баланса и выписки) и платежные (платежи, переводы) с использованием карт банка. еще: МБРР (в сотрудничестве с Tieto Enator) Системы подробнее. «Телефон - терминал» Клиентские интерфейсы J2ME Iphone Ipad Android WEB SMS API партнера Аутентификация и криптография (Элемент ядра системы) кто: Альфа-банк, А3, АТБ Ядро системы Интерфейс к интеграторам подсистема «Интернет-банкинг» Интерфейс АБС подсистема Мобильный банкинг подсистема SMS банкинг Управление профилями пользователей Запрос баланса (getBalance) Запрос выписки (getStatement) Списание со сч. (Payment) Зачисление (Credit) Интерфейс ПЦ Списание (Debit) БД Зачисление (Credit) Баланс (Balance) Выписка (Statement) Пример «телефон – терминал»: АТБ-мобайл Система ДБО предоставляет клиентам ОАО «Азиатско-Тихоокеанский Банк» возможность проведения платежей и переводов с помощью мобильного телефона и через Интернет. Используя систему ДБО, клиент банка может управлять своими средствами как на картах, эмитированных банком, так и на картах международных платёжных систем VISA Int., MasterCard, эмитированных любыми банками. еще: Альфа-банк, А3 Вывод: будущее за полнофункциональными системами. еще… о тех, кто много потратил раньше Спасибо за внимание… Алексей Казарцев, P.S. http://www.plusworld.ru/daily/obnarujena-programma-pohischauschaya-kluchi-u-polzovateleyinternet-bankinga-cherez-sms/ 12:29, 11 Марта 2013 Обнаружена программа, похищающая ключи у пользователей интернет-банкинга через SMS Программа перехватывает SMS, присланные банком. В продаже появилась вирусная программа для мобильных устройств под управлением операционной системы Android, перехватывающая входящие SMS-сообщения, сообщил в своем блоге известный эксперт по компьютерной безопасности Брайан Кребс (Brian Krebs). По его словам, речь идет о программе под названием Perkele, которая продается на одном из подпольных интернет-форумов. Суть работы программы состоит в перехвате входящих SMS и пересылке их текста организаторам вирусной атаки, которые таким образом узнают конфиденциальные данные пользователей, в частности, коды для управления банковскими операциями. Программа предназначена для похищения личной информации о пользователях интернет-банкинга 69 банков Австралии, Франции, Индии, Италии, Германии, Новой Зеландии, Сингапура, Испании, Швейцарии и Турции. Эти банки используют двухуровневую аутентификацию пользователей, требуя ввести для подтверждения платежа не только
