Мобильный банкинг и 63-ФЗ: закон надо чтить!

Мобильный
банкинг и 63-ФЗ:
закон надо чтить!
Максим Болышев,
заместитель директора департамента систем
электронного банковского обслуживания
2014
Тенденции рынка
1. Расширение спектра предлагаемых услуг и продуктов со стороны банков.
2. Развитие и проникновение Интернета позволяет организовать всех участников
данного процесса в единое информационное пространство.
3. Расширение сферы использования электронной подписи (ЭП).
4. С 2011 года наличие законодательной базы – Федерального закона № 63-ФЗ.
5. Популяризация и расширение рынка мобильных устройств (смартфоны,
планшеты).
Юридическая сторона
• Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»
Статья 6 данного Закона регламентирует условия признания электронных
документов, подписанных подписью электронного вида, равнозначными
документам на бумажном носителе, подписанным собственноручно.
• Обязательная сертификация решения в Федеральной службе
по техническому и экспортному контролю (ФСТЭК).
Федеральный закон №63
Федеральный закон № 63 «Об электронной подписи» от 6 апреля 2011 г.
устанавливает три вида электронной подписи (ЭП):
• Простая ЭП
• Усиленная ЭП
• Усиленная квалифицированная ЭП
Комплексный подход
Комплексный подход к безопасности ДБО
• Архитектура решения
• Шифрование канала
• Аутентификация пользователей
• Подписание ЭП всех значимых документов
• ГОСТ СКЗИ
• Антифрод-терминалы
• Одноразовые пароли
• Оповещения
Уровень ОС
Защита и нападение
Уровень защиты
Уровень атаки
Одноразовый пароль
Атака «человек в середине»,
перехват документа/пароля при передаче
ЭЦП с хранением ключей
на незащищенном носителе
Хищение ключей ЭЦП
с незащищенных носителей
ЭЦП с хранением ключей
на защищенном носителе
Хищение закрытых ключей ЭЦП
из оперативной памяти
Персональное аппаратное СКЗИ
(смарт-карта, токен)
Несанкционированный доступ
к криптографическим
возможностям СКЗИ
Сочетание аппаратного СКЗИ
и одноразовых паролей (OTP)
Дополнительное подтверждение
подписанта
Применение внешнего устройства
с возможностью визуального
контроля перед подписью ЭЦП
Визуальный контроль
Интернет-клиент
и мобильный банкинг
• Большая часть кредитных учреждений
предоставляет услуги интернетбанкинга
• Только половина банков предоставляет
услугу мобильного банкинга
Аналитическое агентство Markswebb Rank & Report публикует
результаты установочной части исследования дистанционного
банковского обслуживания физических лиц в России, проведенной
в январе 2014 года.
Мобильный банкинг
Физлица
Юрлица
eToken PASS
Решает проблемы:
•
•
Кражи регистрационных данных клиента
Перехвата SMS с одноразовым паролем
•
Мобильности клиента (ПК, телефон)
Плюсы
Минусы
• Безопасность – ключ генерации OTP
хранится в токене
• Аутентификация в приложении
• Для интернет- и мобильного банкинга
(ПК / телефон)
• Невысокая цена
• Только аутентификация клиента
• Подтверждение факта транзакции,
а не ее содержания
JaСarta
JaCarta – новое поколение смарт-карт, USB- и Secure MicroSD-токенов
для строгой аутентификации, электронной подписи и безопасного
хранения ключей, цифровых сертификатов
•
•
•
•
Аппаратная реализация российской криптографии
Усиленная электронная подпись с неизвлекаемым ключом
Строгая аутентификация пользователей
Безопасное хранение ключей, паролей, цифровых
сертификатов
• Сертификат соответствия ФСБ
• Решения для мобильных платформ
 iOS
 Android
 Windows
Средства безопасности
для мобильного банкинга
•
•
•
•
•
Строгая аутентификация пользователей
Биометрическая идентификация пользователей
Электронная подпись для систем электронного документооборота
Безопасное хранение ключей, цифровых сертификатов
Неотчуждаемость носителя от его владельца
Средства безопасности
для мобильного банкинга
• Электронная подпись
• Безопасное хранение ключей VPN
• Для СЭД в качестве персонального
средства ЭП с неизвлекаемым ключом ЭП
Поддержка платформ
• Возможность распространения приложений через
AppStore, так как криптография находится на отчуждаемом
носителе – карте, а приложение содержит только вызовы
• Минимальное влияние при установке обновлений
и новых версий ОС. Криптографические функции
реализованы на карте, а не в iOS-приложении. Внесение
изменений в приложение не влияет на реализацию криптографии
на карте
InterBank Mobile
• InterBank API — комплексный интеграционный
модуль, позволяющий организовать взаимодействие
приложений с ядром и обеспечить доступ ко всем его
прикладным функциям из нативных приложений для
различных мобильных платформ
• Нативные приложения InterBank Mobile
для мобильных платформ (в частности, для Android
и iOS), обеспечивающие взаимодействие
с пользователем и работу со средствами криптозащиты
InterBank Mobile
1. Технологическое развитие
•
Смартфоны, планшеты, Интернет…
2. Законодательная база
•
Федеральный закон № 63-ФЗ
3. Наличие решения по безопасности
•
JaCarta
4. InterBank – комплексное решение
• Интернет-клиент
• Мобильный банкинг
• Фронт-офис
Спасибо
за внимание!
Вопросы?