Мобильный банкинг и 63 -ФЗ закон надо чтить

Мобильный банкинг и 63 -ФЗ: закон надо чтить! Максим Болышев, заместитель директора департамента систем электронного банковского обслуживания 2014

Тенденции рынка 1. Расширение спектра предлагаемых услуг и продуктов со стороны банков. 2. Развитие и проникновение Интернета позволяет организовать всех участников данного процесса в единое информационное пространство. 3. Расширение сферы использования электронной подписи (ЭП). 4. С 2011 года наличие законодательной базы – Федерального закона № 63 -ФЗ. 5. Популяризация и расширение рынка мобильных устройств (смартфоны, планшеты).

Юридическая сторона • Федеральный закон от 06. 04. 2011 № 63 -ФЗ «Об электронной подписи» Статья 6 данного Закона регламентирует условия признания электронных документов, подписанных подписью электронного вида, равнозначными документам на бумажном носителе, подписанным собственноручно. • Обязательная сертификация решения в Федеральной службе по техническому и экспортному контролю (ФСТЭК).

Федеральный закон № 63 «Об электронной подписи» от 6 апреля 2011 г. устанавливает три вида электронной подписи (ЭП): • Простая ЭП • Усиленная квалифицированная ЭП

Комплексный подход к безопасности ДБО • Архитектура решения • Шифрование канала • Аутентификация пользователей • Подписание ЭП всех значимых документов • ГОСТ СКЗИ • Антифрод-терминалы • Одноразовые пароли • Оповещения

Защита и нападение Уровень атаки Одноразовый пароль Уровень ОС Уровень защиты Атака «человек в середине» , перехват документа/пароля при передаче ЭЦП с хранением ключей на незащищенном носителе Хищение ключей ЭЦП с незащищенных носителей ЭЦП с хранением ключей на защищенном носителе Хищение закрытых ключей ЭЦП из оперативной памяти Персональное аппаратное СКЗИ (смарт-карта, токен) Несанкционированный доступ к криптографическим возможностям СКЗИ Сочетание аппаратного СКЗИ и одноразовых паролей (OTP) Дополнительное подтверждение подписанта Применение внешнего устройства с возможностью визуального контроля перед подписью ЭЦП

Визуальный контроль

Интернет-клиент и мобильный банкинг • Большая часть кредитных учреждений предоставляет услуги интернетбанкинга • Только половина банков предоставляет услугу мобильного банкинга Аналитическое агентство Markswebb Rank & Report публикует результаты установочной части исследования дистанционного банковского обслуживания физических лиц в России, проведенной в январе 2014 года.

Мобильный банкинг Физлица Юрлица

e. Token PASS Решает проблемы: • Кражи регистрационных данных клиента • Перехвата SMS с одноразовым паролем • Мобильности клиента (ПК, телефон) Плюсы Минусы • Безопасность – ключ генерации OTP хранится в токене • Аутентификация в приложении • Для интернет- и мобильного банкинга (ПК / телефон) • Невысокая цена • Только аутентификация клиента • Подтверждение факта транзакции, а не ее содержания

Ja. Сarta Ja. Carta – новое поколение смарт-карт, USB- и Secure Micro. SDтокенов для строгой аутентификации, электронной подписи и безопасного хранения ключей, цифровых сертификатов • • Аппаратная реализация российской криптографии Усиленная электронная подпись с неизвлекаемым ключом Строгая аутентификация пользователей Безопасное хранение ключей, паролей, цифровых сертификатов • Сертификат соответствия ФСБ • Решения для мобильных платформ ü i. OS ü Android ü Windows

Средства безопасности для мобильного банкинга • • • Строгая аутентификация пользователей Биометрическая идентификация пользователей Электронная подпись для систем электронного документооборота Безопасное хранение ключей, цифровых сертификатов Неотчуждаемость носителя от его владельца

Средства безопасности для мобильного банкинга • Электронная подпись • Безопасное хранение ключей VPN • Для СЭД в качестве персонального средства ЭП с неизвлекаемым ключом ЭП

Поддержка платформ • Возможность распространения приложений через App. Store, так криптография находится на отчуждаемом носителе – карте, а приложение содержит только вызовы • Минимальное влияние при установке обновлений и новых версий ОС. Криптографические функции реализованы на карте, а не в i. OS-приложении. Внесение изменений в приложение не влияет на реализацию криптографии на карте

Inter. Bank Mobile • Inter. Bank API — комплексный интеграционный модуль, позволяющий организовать взаимодействие приложений с ядром и обеспечить доступ ко всем его прикладным функциям из нативных приложений для различных мобильных платформ • Нативные приложения Inter. Bank Mobile для мобильных платформ (в частности, для Android и i. OS), обеспечивающие взаимодействие с пользователем и работу со средствами криптозащиты

Inter. Bank Mobile 1. Технологическое развитие • Смартфоны, планшеты, Интернет… 2. Законодательная база • Федеральный закон № 63 -ФЗ 3. Наличие решения по безопасности • Ja. Carta 4. Inter. Bank – комплексное решение • Интернет-клиент • Мобильный банкинг • Фронт-офис

Спасибо за внимание! Вопросы?