Анатомия интернет-банка Артем Вольфтруб www.gramant.ru
О чем этот доклад?  Интернет-банк Процессинг Безопасность Оплата услуг
Рост числа пользователей * интернет-банков за 2009 год * Среди физических лиц 50% + 350% + 150% + 100% 30% + 27,3%
Причины роста популярности ДБО <ul><li>Рост числа пользователей интернета в России </li></ul><ul><li>Улучшение качества св...
Доля коробочных продуктов Источник: CNews Analytics, 2009
Базовые функции Интернет Банка <ul><li>Баланс счетов </li></ul><ul><li>История операций </li></ul><ul><li>Перевод денег </...
А сколько это экранов?
?
Аргументы в пользу собственной разработки <ul><li>Высокая стоимость внедрения и поддержки готовых систем </li></ul><ul><li...
Основные компоненты интернет-банка
АБС АБС – основная составляющая программной инфраструктуры банка <ul><li>Учетные функции </li></ul><ul><li>Документооборот...
 
Варианты интеграции с АБС <ul><li>Прямая взаимодействие через СУБД </li></ul><ul><li>Шлюз обмена файлами </li></ul><ul><li...
Сложности интеграции <ul><li>АБС – продукт, не предназначенный для интеграции с внешними системами  </li></ul><ul><li>Стар...
Где хранить данные ИБ? <ul><li>Информация о пользователях </li></ul><ul><li>Создаваемые документы </li></ul><ul><li>Явки, ...
Данные внутри АБС <ul><li>Упрощается инфраструктура </li></ul><ul><li>Нет дублирования </li></ul><ul><li>Усложняется реали...
Данные во внешнем хранилище <ul><li>Снижается нагрузка на АБС </li></ul><ul><li>Проще в реализации </li></ul><ul><li>Нет з...
Гибридный вариант <ul><li>Информация в БД </li></ul><ul><li>Клиенты </li></ul><ul><li>Справочники </li></ul><ul><li>Информ...
Безопасность
Три парадигмы обеспечения безопасности <ul><li>Something you know </li></ul><ul><li>Something you have </li></ul><ul><li>S...
Something you know <ul><li>Самый распространенный метод аутентификации </li></ul><ul><li>Не создает лишних проблем пользов...
Something you know Виртуальная клавиатура для защиты от кейлоггера. Кнопки располагаются случайным образом Персонализирова...
Something you have <ul><li>Смарт-карта </li></ul><ul><li>One-Time Password </li></ul><ul><ul><li>Скетч-карта </li></ul></u...
Аутентификация с помощью токена <ul><li>Может дополнять аутентификацю паролем </li></ul><ul><li>Основана на принципе  OTP ...
Принцип работы токена <ul><li>Пароль =  F( секретный ключ, значение счетчика) </li></ul><ul><li>Счетчик устройства и счетч...
Аутентификация с помощью токена
Something you are <ul><li>Все свое ношу с собой </li></ul><ul><li>«Пароль» не может устареть </li></ul><ul><li>Существенно...
Разделение по уровню операций <ul><li>Активные операции </li></ul><ul><li>Пассивные операции </li></ul><ul><li>Экономит вр...
Защита активных операций <ul><li>Скетч-карты </li></ul><ul><li>ЭЦП </li></ul>
 
Защиты операций с помощью ЭЦП <ul><li>Высокий уровень безопасности </li></ul><ul><li>Идентификация пользователя, подписавш...
Процессинг банковских карт
Базовая схема работы
Важные моменты <ul><li>Любая транзакция идет через процессинговый центр </li></ul><ul><li>Обмен данными между процессингов...
<ul><li>Дешевы в производстве </li></ul><ul><li>Широко распространены </li></ul><ul><li>Невысокая защита </li></ul><ul><li...
Смарт-карты <ul><li>Улучшенная защита </li></ul><ul><li>Не требуют соединения с ПЦ </li></ul><ul><li>Широкие функциональны...
Работа в офлайне <ul><li>Баланс записывается на карту </li></ul><ul><li>Транзакции сохраняются на карте </li></ul><ul><li>...
Как не уйти в  overdraft? <ul><li>Лимиты на общую сумму операций </li></ul><ul><li>Лимиты на число операций </li></ul><ul>...
Обработка карт в интернет-банке <ul><li>Информация о картах хранится в карточной системе </li></ul><ul><li>Синхронизация о...
Оплата услуг
Зачем нужна оплата услуг в ИБ <ul><li>Для пользователя </li></ul><ul><li>Экономия времени </li></ul><ul><li>Сниженный разм...
Зачем нужна оплата услуг в ИБ <ul><li>Для банка </li></ul><ul><li>Средство повышения лояльности клиентов </li></ul><ul><li...
 
Особенности реализации <ul><li>Взаимодействие с разнородными системами в рамках единой транзакции  </li></ul><ul><li>Разны...
Протокол двухфазного коммита
Протокол двухфазного коммита
Практика <ul><li>Блокирующий протокол </li></ul><ul><li>Не работает при выходе из строя координатора </li></ul>Иногда прих...
Административный интерфейс <ul><li>Максимальная независимость от основной системы </li></ul><ul><li>Работа с платежными до...
Подводя некоторые итоги <ul><li>Функциональность ИБ не заканчивается фронтендом </li></ul><ul><li>Не существует универсаль...
Вопросы? [email_address]
Бонус-трек Немного о платежных системах
Зачем нужна платежная система <ul><li>Решение для малого бизнеса </li></ul><ul><li>Сеть поставщиков услуг </li></ul><ul><l...
Функции платежной системы <ul><li>Гарантия безопасности </li></ul><ul><li>Учет торговых точек </li></ul><ul><li>Подключени...
 
 
Взаимодействие с ПС <ul><li>Использование встроенных модулей оплаты </li></ul><ul><li>API </li></ul><ul><li>Веб-сервисы </...
Дополнительные средства защиты
Вопросы? [email_address]
Upcoming SlideShare
Loading in …5
×

анатомия интернет банка Publish

976 views
905 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
976
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

анатомия интернет банка Publish

  1. 1. Анатомия интернет-банка Артем Вольфтруб www.gramant.ru
  2. 2. О чем этот доклад? Интернет-банк Процессинг Безопасность Оплата услуг
  3. 3. Рост числа пользователей * интернет-банков за 2009 год * Среди физических лиц 50% + 350% + 150% + 100% 30% + 27,3%
  4. 4. Причины роста популярности ДБО <ul><li>Рост числа пользователей интернета в России </li></ul><ul><li>Улучшение качества связи </li></ul><ul><li>Рост доверия к услугам электронной коммерции </li></ul><ul><li>Увеличение числа услуг </li></ul><ul><li>Снижение комиссий </li></ul>
  5. 5. Доля коробочных продуктов Источник: CNews Analytics, 2009
  6. 6. Базовые функции Интернет Банка <ul><li>Баланс счетов </li></ul><ul><li>История операций </li></ul><ul><li>Перевод денег </li></ul><ul><li>Оплата услуг </li></ul>
  7. 7. А сколько это экранов?
  8. 8. ?
  9. 9. Аргументы в пользу собственной разработки <ul><li>Высокая стоимость внедрения и поддержки готовых систем </li></ul><ul><li>Специфичная инфраструктура банков </li></ul><ul><li>Наличие собственных ИТ специалистов, готовых сделать систему под конкретного заказчика, но за меньшие деньги </li></ul>
  10. 10. Основные компоненты интернет-банка
  11. 11. АБС АБС – основная составляющая программной инфраструктуры банка <ul><li>Учетные функции </li></ul><ul><li>Документооборот </li></ul><ul><li>Аналитика </li></ul>
  12. 13. Варианты интеграции с АБС <ul><li>Прямая взаимодействие через СУБД </li></ul><ul><li>Шлюз обмена файлами </li></ul><ul><li>Web- сервисы </li></ul>
  13. 14. Сложности интеграции <ul><li>АБС – продукт, не предназначенный для интеграции с внешними системами </li></ul><ul><li>Старый legacy код </li></ul><ul><li>Несколько банков – несколько АБС </li></ul><ul><li>Один банк – несколько АБС </li></ul>
  14. 15. Где хранить данные ИБ? <ul><li>Информация о пользователях </li></ul><ul><li>Создаваемые документы </li></ul><ul><li>Явки, пароли </li></ul>
  15. 16. Данные внутри АБС <ul><li>Упрощается инфраструктура </li></ul><ul><li>Нет дублирования </li></ul><ul><li>Усложняется реализация </li></ul><ul><li>Появляется зависимость от АБС </li></ul><ul><li>Возрастает нагрузка </li></ul><ul><li>Снижается безопасность </li></ul>
  16. 17. Данные во внешнем хранилище <ul><li>Снижается нагрузка на АБС </li></ul><ul><li>Проще в реализации </li></ul><ul><li>Нет зависимости от АБС </li></ul><ul><li>Улучшается безопасность </li></ul><ul><li>Сложный механизм синхронизации данных </li></ul><ul><li>Задержки в обновлении </li></ul>
  17. 18. Гибридный вариант <ul><li>Информация в БД </li></ul><ul><li>Клиенты </li></ul><ul><li>Справочники </li></ul><ul><li>Информация в АБС </li></ul><ul><li>Счета </li></ul><ul><li>История операций </li></ul>
  18. 19. Безопасность
  19. 20. Три парадигмы обеспечения безопасности <ul><li>Something you know </li></ul><ul><li>Something you have </li></ul><ul><li>Something you are </li></ul>
  20. 21. Something you know <ul><li>Самый распространенный метод аутентификации </li></ul><ul><li>Не создает лишних проблем пользователю </li></ul><ul><li>Самый ненадежный метод </li></ul><ul><ul><li>Простой пароль – проще запомнить, проще подобрать </li></ul></ul><ul><ul><li>Легко украсть (кейлоггер , фишинг, скрытое наблюдение) </li></ul></ul><ul><li>Смена пароль требует участия пользователя </li></ul>
  21. 22. Something you know Виртуальная клавиатура для защиты от кейлоггера. Кнопки располагаются случайным образом Персонализированная форма логина для защиты от фишинга
  22. 23. Something you have <ul><li>Смарт-карта </li></ul><ul><li>One-Time Password </li></ul><ul><ul><li>Скетч-карта </li></ul></ul><ul><ul><li>SMS </li></ul></ul><ul><ul><li>Генератор паролей ( токен ) </li></ul></ul>
  23. 24. Аутентификация с помощью токена <ul><li>Может дополнять аутентификацю паролем </li></ul><ul><li>Основана на принципе OTP </li></ul><ul><li>Независимый модуль </li></ul>
  24. 25. Принцип работы токена <ul><li>Пароль = F( секретный ключ, значение счетчика) </li></ul><ul><li>Счетчик устройства и счетчик сервера должны быть синхронизированы </li></ul><ul><li>PIN код для дополнительной защиты </li></ul>
  25. 26. Аутентификация с помощью токена
  26. 27. Something you are <ul><li>Все свое ношу с собой </li></ul><ul><li>«Пароль» не может устареть </li></ul><ul><li>Существенно увеличивает стоимость </li></ul><ul><li>Люди боятся машин </li></ul><ul><li>Вероятность ошибочного срабатывания (FAR и FRR ) </li></ul>
  27. 28. Разделение по уровню операций <ul><li>Активные операции </li></ul><ul><li>Пассивные операции </li></ul><ul><li>Экономит время пользователя </li></ul><ul><li>Упрощает реализацию </li></ul>
  28. 29. Защита активных операций <ul><li>Скетч-карты </li></ul><ul><li>ЭЦП </li></ul>
  29. 31. Защиты операций с помощью ЭЦП <ul><li>Высокий уровень безопасности </li></ul><ul><li>Идентификация пользователя, подписавшего сообщение </li></ul><ul><li>Передача данных по открытым каналам </li></ul>
  30. 32. Процессинг банковских карт
  31. 33. Базовая схема работы
  32. 34. Важные моменты <ul><li>Любая транзакция идет через процессинговый центр </li></ul><ul><li>Обмен данными между процессинговым центром и банком-эмитентом может происходить в офлайне </li></ul>
  33. 35. <ul><li>Дешевы в производстве </li></ul><ul><li>Широко распространены </li></ul><ul><li>Невысокая защита </li></ul><ul><li>Ограниченные возможности </li></ul><ul><li>Требуют соединения с ПЦ </li></ul>Магнитные карты
  34. 36. Смарт-карты <ul><li>Улучшенная защита </li></ul><ul><li>Не требуют соединения с ПЦ </li></ul><ul><li>Широкие функциональные возможности </li></ul><ul><li>Дороже в изготовлении </li></ul><ul><li>В некоторых местах не работают </li></ul>
  35. 37. Работа в офлайне <ul><li>Баланс записывается на карту </li></ul><ul><li>Транзакции сохраняются на карте </li></ul><ul><li>Синхронизация при наличии соединения </li></ul>
  36. 38. Как не уйти в overdraft? <ul><li>Лимиты на общую сумму операций </li></ul><ul><li>Лимиты на число операций </li></ul><ul><li>Overdraft – проблема клиента </li></ul>
  37. 39. Обработка карт в интернет-банке <ul><li>Информация о картах хранится в карточной системе </li></ul><ul><li>Синхронизация остатков с процессинговым центром </li></ul><ul><li>Внешний шлюз (обмен файлами, веб - сервисы) </li></ul><ul><li>Объединение информации, получаемой от АБС (счета) и ПЦ (остатки, журнал транзакций) </li></ul>
  38. 40. Оплата услуг
  39. 41. Зачем нужна оплата услуг в ИБ <ul><li>Для пользователя </li></ul><ul><li>Экономия времени </li></ul><ul><li>Сниженный размер комиссий </li></ul><ul><li>Возможность использовать средства на банковском счете </li></ul>
  40. 42. Зачем нужна оплата услуг в ИБ <ul><li>Для банка </li></ul><ul><li>Средство повышения лояльности клиентов </li></ul><ul><li>Увеличение денежного оборота </li></ul><ul><li>Возможность заработать на трафике </li></ul>
  41. 44. Особенности реализации <ul><li>Взаимодействие с разнородными системами в рамках единой транзакции </li></ul><ul><li>Разный механизм работы в зависимости от источника </li></ul><ul><li>Разные типы банковских документов для услуг </li></ul><ul><li>Нельзя использовать универсальные формы для оплаты </li></ul>
  42. 45. Протокол двухфазного коммита
  43. 46. Протокол двухфазного коммита
  44. 47. Практика <ul><li>Блокирующий протокол </li></ul><ul><li>Не работает при выходе из строя координатора </li></ul>Иногда приходится работать руками
  45. 48. Административный интерфейс <ul><li>Максимальная независимость от основной системы </li></ul><ul><li>Работа с платежными документами, восстановление документов </li></ul><ul><li>Аудит данных и операций </li></ul><ul><li>Управление пользователями </li></ul><ul><li>Основной инструмент службы поддержки </li></ul>
  46. 49. Подводя некоторые итоги <ul><li>Функциональность ИБ не заканчивается фронтендом </li></ul><ul><li>Не существует универсальной архитектуры </li></ul><ul><li>Безопасность можно улучшать бесконечно </li></ul><ul><li>Разнородные системы никогда не работают без сбоев </li></ul><ul><li>Не нужно забывать о тех, кто будет эксплуатировать систему </li></ul>
  47. 50. Вопросы? [email_address]
  48. 51. Бонус-трек Немного о платежных системах
  49. 52. Зачем нужна платежная система <ul><li>Решение для малого бизнеса </li></ul><ul><li>Сеть поставщиков услуг </li></ul><ul><li>Разнообразные формы оплаты </li></ul><ul><li>Реализованные механизмы безопасности </li></ul>
  50. 53. Функции платежной системы <ul><li>Гарантия безопасности </li></ul><ul><li>Учет торговых точек </li></ul><ul><li>Подключение поставщиков </li></ul>
  51. 56. Взаимодействие с ПС <ul><li>Использование встроенных модулей оплаты </li></ul><ul><li>API </li></ul><ul><li>Веб-сервисы </li></ul>
  52. 57. Дополнительные средства защиты
  53. 58. Вопросы? [email_address]

×