Высоконагруженный проект должен не только предоставлять быстрый и качественный сервис, но и окупать себя. Нам приходится бороться не только за проценты, увеличивающие производительность и надежность, но и за процент проведенных транзакций. При большом объеме платежей разница в 1% может быть внушительной и окупать все затраты.
Я расскажу о том, как устроен биллинг в таком большом международном проекте, как Badoo, расскажу про возникавшие по мере роста проблемы, продемонстрирую архитектуру, к которой мы в итоге пришли, и объясню, почему она получилась именно такой. Отдельная подтема - то, как мы «готовим» процессинг кредитных карт и как он устроен. Также я расскажу про рекуррентные платежи, процессе разработки и мониторинге
1. Нужно ли мобильное приложение для юридических лиц;
2. Какие ожидания у банка и у пользователей от сервиса;
3. Какой функционал необходимо реализовывать;
4. Какие критерии оценки качества данного канала.
Об этом, и о методе оценки скорости работы внутренних систем в данной презентации.
Используемые методы:
Опрос пользователей с целью выявления потребности в решении задач "вне офиса";
Интервью с пользователями с целью выявления контекста использования и частоты решения задач;
Оценка эффективности работы сервиса с точки зрения удобства (юзабилити-тестирования) и скорости (GOMS).
Высоконагруженный проект должен не только предоставлять быстрый и качественный сервис, но и окупать себя. Нам приходится бороться не только за проценты, увеличивающие производительность и надежность, но и за процент проведенных транзакций. При большом объеме платежей разница в 1% может быть внушительной и окупать все затраты.
Я расскажу о том, как устроен биллинг в таком большом международном проекте, как Badoo, расскажу про возникавшие по мере роста проблемы, продемонстрирую архитектуру, к которой мы в итоге пришли, и объясню, почему она получилась именно такой. Отдельная подтема - то, как мы «готовим» процессинг кредитных карт и как он устроен. Также я расскажу про рекуррентные платежи, процессе разработки и мониторинге
1. Нужно ли мобильное приложение для юридических лиц;
2. Какие ожидания у банка и у пользователей от сервиса;
3. Какой функционал необходимо реализовывать;
4. Какие критерии оценки качества данного канала.
Об этом, и о методе оценки скорости работы внутренних систем в данной презентации.
Используемые методы:
Опрос пользователей с целью выявления потребности в решении задач "вне офиса";
Интервью с пользователями с целью выявления контекста использования и частоты решения задач;
Оценка эффективности работы сервиса с точки зрения удобства (юзабилити-тестирования) и скорости (GOMS).
NXP presentation at Watermark 2015 Conference (Sochi, Sep 22-25)Ihar Bayarenka
Presentation describes key challenges of eGovernment programs and how introduction of secure authentication via online channels can address them. Next, 2 options of using NFC phones for eID programs - as a low cost tool for inspecting contactless eID cards and as a derived eID card with limited (compared to original eID card) functionality. Presentation ends with recommendations to public authorities on how to maximize efficiency of eID programs.
Slides are in Russian.
2. http://www.safe-tech.ru
О компании SafeTech (СэйфТек)
2
‒ Основана в 2010 году, как разработчик
средств безопасности для систем
дистанционного банкинга;
‒ Лицензиат ФСТЭК на разработку и
производство средств защиты
конфиденциальной информации;
‒ На сегодняшний день клиентами
компании являются более 50-ти
российских банков, в том числе,
входящих в список ТОП-10;
‒ В продуктовую линейку компании входят
решения как для юридических, так и для
физических лиц.
3. http://www.safe-tech.ru
Бизнес + Безопасность =
3
Чего хочет бизнес Чем можем помочь
Высокий процентный доход
(ниже риски, выше лимиты)
Защита от всех современных угроз
Больше транзакций
Работа с любого устройства
Удобное подтверждение операций
Общение с клиентом только на
приятные темы
Никаких установок СКЗИ, CSP, JCP,
PKIClient и т.д. и т.п.
Сохранность денег Банка
Соответствие требованиям
законодательства
Дополнительный непроцентный
доход
Безопасность тоже можно продать
4. http://www.safe-tech.ru
А что у нас с безопасностью?
4
315,2 317,3
459,4
547,5 612,6
1 455,8
2 070,5
987,6
1 276
744
1 264 1 606
3 302
5 369
8 223
15 674
0
2 000
4 000
6 000
8 000
10 000
12 000
14 000
16 000
18 000
0,0
500,0
1 000,0
1 500,0
2 000,0
2 500,0
1 квартал 2014 2 квартал 2014 3 квартал 2014 4 квартал 2014 1 квартал 2015 2 квартал 2015 3 квартал 2015 4 квартал 2015
Динамика инцидентов ДБО по данным ЦБ за 2015г.
объем несанкционированных списаний, млн. руб. количество несанционированных операций в ДБО, ед.
5. http://www.safe-tech.ru
Что происходит?
• Резко выросло количество вредоносного ПО
– для ПК, причем антивирусные средства не помогают
– для кражи SMS с мобильных устройств
• Расцвет традиционных методов атак на физ. лиц:
– фишинг
– социальная инженерия
– удаленный доступ
• Новые методы атак
– автоматическая подмена платежных документов
– виртуальные базовые станции мобильных операторов
5
Против комбинаций этих методов
традиционные методы защиты
(SMS, генераторы одноразовых паролей, скретч-карты,
антифрод-системы и пр.)
стали недостаточно эффективными!
6. http://www.safe-tech.ru 6
Отцы и дети? (с) Тургенев
«Классики» «Современники»
Тип системы
«Средство производства»
Чем защищаем
Интернет-банк, Клиент-банк Мобильный банк,
Интернет-банк
Персональный компьютер,
ноутбук
Смартфон, планшет
Токены, смарт-карты, СКЗИ
на компьютере, ключи на
флешках
SMS-пароли, генераторы
одноразовых паролей
Точно защищаем?
Удаленное управление,
подмена реквизитов платежа
Перехват SMS, фишинг,
подмена SIM-карт
Что делать?
(с) Чернышевский
7. http://www.safe-tech.ru
Для «Классиков»:
SafeTouch. Доверенный экран
• Защита от всех известных на сегодняшний день удаленных атак
– Визуальный контроль данных, передаваемых в смарт-карту
– Блокирование операции подписи до момента нажатия кнопки
подтверждения
• Не надо выбрасывать уже розданные клиентам USB-токены
• Не надо устанавливать какое-либо дополнительное ПО (включил и
работает)
• Отлично продается в составе пакета «Безопасность класса премиум» и
приносит банкам доход от 1000 до 2500 руб. на одно рабочее место
системы Интернет-банкинга.
7
10. http://www.safe-tech.ru
• Одноразовые пароли через SMS
– негарантированная доставка
– задержки в доставке
– возможность перехвата на уровне канала связи или ввода в
систему
– возможность перехвата на уровне оператора мобильной
связи
– возможность переоформления сим-карты клиента на
мошенника по поддельной доверенности (и перехвата SMS)
– возможность направления клиенту SMS-сообщений с
подменного номера
– рост операционных затрат пропорционально клиентской базе
• MAC-токены
– детали операции необходимо вводить вручную
– От 12 до 50 USD/шт.
– необходимость иметь его под рукой
10
Что предлагает рынок?
11. http://www.safe-tech.ru
PUSH-уведомления?
• Появились компании, специализирующиеся на рассылке PUSH-
уведомлений. Сами по себе уведомления – замечательный способ
заменить информирование через SMS.
Но их нельзя использовать «в лоб» для целей безопасности
11
• PUSH имеет много ограничений. Главное – негарантированность
доставки и невозможность работы без подключения на смартфоне
12. http://www.safe-tech.ru
PayControl. Безопасная и удобная
замена SMS-паролей
12
• Подпись на смартфоне
– документ загружается в смартфон автоматически
– детали операции очень удобно просматривать на экране
– транзакция подтверждается усиленной неквалифицированной
подписью
Удобство смартфона и безопасность
MAC-калькулятора в мобильном приложении
13. http://www.safe-tech.ru
Как это выглядит в Интернет-банкинге
13
push-уведомление о транзакции (онлайн)*
или сканирование QR-кода (офлайн)
автоматическое подтверждение (онлайн)
или ввод 6 цифр (офлайн)
* данные или код подтверждения не высылаются на смартфон через push
14. http://www.safe-tech.ru
Усиленная квалифицированная
подпись в смартфоне
Интеграция с сервисом «облачной подписи» КриптоПро DSS
Совместное решение позволяет получить квалифицированную
электронную подпись с использованием сценариев работы PayControl, то
есть в одно нажатие на смартфоне
• Целевая аудитория – SMB
• Преимущества:
– кардинальное снижение порога использования
квалифицированной ЭП
– полная мобильность клиента
– возможность использования мобильных платформ и сервисов с
квалифицированной ЭП
– существенное снижение затрат за счет отсутствия аппаратных
СКЗИ
14
15. http://www.safe-tech.ru 15
Банк
• перекредитование (либо выдача нового целевого кредита с залогом) онлайн
• доп. соглашения на покупку любых банковских продуктов онлайн
• работа с гос. органами, например регистрация (перерегистрация) права
собственности на недвижимость онлайн
Страховые продукты: ОСАГО, КАСКО,
страхование жизни
Дополнительные небанковские сервисы: сервисные программы для авто (как пакет к
автокредиту), юридические услуги, открытие юр.лица и т.д.
Инвестиционные продукты: пенсионные программы, ПИФы, и т.д.
Дополнительные продажи банковских продуктов и предоставление
небанковских сервисов
Комиссионный доход от партнерских продуктов
«Единое окно» клиента
Предоставление
финансовых и
нефинансовых услуг
Снижение затрат на операционные расходы
• Начисление резервов по потерянным договорам
• Затраты на работу с бумагой
• Изменение условий кредита (в том числе частично-
досрочное погашение) в удаленном канале
3-4 тыс. руб. экономии
на договор (для
автокредитования)
• 20-40 тыс. комиссии на 1 полис для
КАСКО,
• 500-1000 руб. комиссии по
коробочным страховым продуктам
Квалифицированная ЭП
в сервисах для физических лиц
16. http://www.safe-tech.ru
Квалифицированная ЭП
в сервисах для юридических лиц
16
Банк
• Online продажа
банковских гарантий
• Online выдача
кредитов и заключение
депозитных договоров
• Облачная
бухгалтерия для МСБ
Новое качество традиционных банковских продуктовВыстраивает
эффективное
взаимодействие с
партнерами
Получает возможность
продавать новые
продукты
Взаимодействие с партнерами (Маркетплейс)
• Сокращение времени от нескольких дней на
предоставление гарантии до нескольких часов
• Расчеты с партнерами (подписание актов,
счетов, сверок и т.д. в рамках
автоматического сквозного бэк-офисного
процесса)
Ускорение бэк-офисных
процессов в несколько раз;
Снижение трудоемкости процессов
бэк-офисного обслуживания.
Типовая функциональность партнерского маркетплейса
• Программы прямой мотивации
сотрудников Банка партнерами: акты на
выплату комиссионного вознаграждения в
электронном виде.
Сотрудники замотивированы
продавать;
Банку доступна информация о
«побочном» доходе сотрудников.
Функциональность на базе ЭП — позволяет типовой функциональности работать «на отлично»:
• Продажа партнерских
продуктов
• CRM для работы с
клиентами
• Центр коммуникации и
обучения
• Быстрое заключение кредитных договоров
• Новый продукт для клиентов и новое средство
привлечения для Банка: краткосрочные депозиты, овернайт
депозиты, депозиты по ставке казначейства и т.д.
• Услуги бухгалтерии как «стандарт обслуживания» для
клиентов на УСН
• Доп. доход в 3-4 тыс. руб. на каждого клиента