Документ описывает систему дистанционного банковского обслуживания (ДБО), которая позволяет клиентам управлять своими счетами без физического присутствия в банке, используя различные устройства и интернет. В документе выделены требования как к клиентам, так и к банкам, включая безопасность, доступность и простоту использования услуг. Также предусмотрены меры для обеспечения аутентификации, целостности и конфиденциальности сообщений, а также контроль операций со стороны как клиента, так и банка.

1. ДБО – единство
противоположностей!
Ирина Ивченко
Вадим Бадашин

2. Дистанционное банковское
обслуживание
ДБО - система дистанционного обслуживания
клиентов, которая обеспечивает доступ ко
всем счетам клиента и выполнение операций
со всеми счетами клиента без присутствия
клиента в банке с использованием
информационных технологий и
коммуникаций (в частности Интернет) с
помощью компьютера или любого другого
устройства (планшет, мобильный телефон и
т.п.).
01.04.2013 2

3. Участники ДБО
Клиент Банк
01.04.2013 3

4. Используемая модель
Клиент Банк
Безопасность
01.04.2013 4

5. Используемая модель
Клиент Банк
ДБО
Безопасность
01.04.2013 5

6. Требования клиента
• Возможность работать с любого устройства
• Обеспечение доступности сервиса 24х7х365 с гарантией
того, что вышел именно на сайт банка
• Простота и удобство интерфейса
• Отсутствие необходимости долгого ожидания
дополнительной информации
• Отсутствие необходимости запоминать множество
паролей
• Гарантия информирования о всех действиях со счетами
• Возможность отменить платеж в течение какого-либо
промежутка времени
• Дешевизна и простота подключения до системы ДБО
01.04.2013 6

7. Требования банка
• Минимизация затрат при обслуживании клиентов
• Надежная аутентификация клиента
• Гарантия доступности сервиса
• Целостность сообщения
• Возможность контроля платежей
• Возможность отслеживания действий клиента
• Минимальные денежные потери
01.04.2013 7

8. Требования безопасности
• Гарантия доступности сервиса
• Гарантия достоверности сайта банка
• Гарантия аутентификации клиента
• Гарантия целостности документов
• Гарантия конфиденциальности
• Гарантия возможности отслеживания действий
клиента
• Гарантия подтверждения документов (квитовка)
01.04.2013 8

9. Гарантия доступности
• Система защиты от атак
• Поддержка сервера доступа как составляющей части ДБО
• Резервирование электропитания, системы
кондиционирования, сервера доступа и серверов ДБО
• Обеспечение защиты сервера от подмены
- введение дополнительной информации, известной
только клиенту (оформление своей страницы самим
клиентом, введение дополнительных картинок и т.п.)
- уникальное имя сайта
+ + +
01.04.2013 9

10. Аутентификация клиента
• На стороне клиентской части обеспечить принудительное
стирание логина и пароля при выходе из сеанса связи с банком
• Использовать аппаратные носители для паролей и ключей с
обеспечением анонимности таких носителей
• Носители могут быть различными в зависимости от того, для
кого они предназначены – физического лица или юридического
лица.
• Информация, которая записывается на носитель для
аутентификации клиента может быть привязана к заранее
согласованным с клиентом лимитам платежей – в зависимости
от суммы платежа платеж может формироваться с
аутентификацией по паролю или по ключу.
+/- + +
01.04.2013 10

11. Целостность сообщения
• Для юридических лиц обязательно использование ЭЦП на
платежах
• Для физических лиц можно ввести контроль целостности
в зависимости от суммы платежа: при сумме платежа
менее согласованного заранее лимита используется
контрольная сумма (желательно с использованием
криптографического алгоритма), при превышении лимита
– используется ЭЦП.
• ОЧЕНЬ ВАЖНО !!!
Все криптографические данные должны храниться на
аппаратном носители. Там же должны выполняться
криптографические функции – генерация ключей,
формирование ЭЦП, подсчет контрольных сумм
01.04.2013 - +/- + 11

12. Конфиденциальность
сообщения
• Сайт должен работать только в режиме https
и все сообщения шифроваться
- +/- +
01.04.2013 12

13. Гарантия подтверждения
(квитовка)
• Кроме обычного подтверждения о приеме
платежного документа необходимо автоматически
отсылать дополнительную информацию, например, в
виде SMS. Это даст возможность клиенту
контролировать ситуацию, что только он лично
отсылает платежи
• Важный вопрос и о содержании этих SMS, поскольку
эти сообщения не являются защищенными. Следует
запретить передачу остатка счета и другие
критические суммы на мобильный телефон.
+/- +/- +
01.04.2013 13

14. Контроль операций со
стороны клиента
• Необходимо установить согласованную с клиентом
задержку обработки платежного документа для
гарантии того, чтобы клиент мог отменить платеж
или изменить его в течение определенного заранее в
договоре времени.
+ +/- -
01.04.2013 14

15. Контроль платежей со
стороны банка
• Клиент не должен иметь прямого доступа к базам
данных и не должен самостоятельно выполнять
какие-либо операции со своим счетом. По
нормативным документам каждый платежный
документ должен контролироваться и подписываться
операционистом.
• Для облегчения организации работ с ДБО можно
платежи с суммой, меньшей установленного в
договоре с клиентом лимита, переподписывать
автоматически с помощью «вертушки». Для сумм,
превышающих лимит, обязательно должен
присутствовать контроль операциониста.
01.04.2013
- +/- + 15

16. Действия клиента
• Система ДБО должна вести достаточно подробные
журналы выполняемых клиентом действий на
стороне банка. Этот журнал должен быть защищен от
модификации для гарантии правильности
восстановления событий в случае возникновения
конфликтных ситуаций между клиентом и банком.
- +/- +
01.04.2013 16

17. Спасибо за внимание
Ирина Ивченко
Irina.Ivchenko@sicenter.net
+380 67 715-13-69
+ 380 50 355-44-62
Вадим Бадашин
Vadim.Badashin@sicenter.net
+380 50 310-48-18