СМП Банк начинает пилотный проект по внедрению новой совокупности подтверждения платежей в интернет-банкинге. Портал Банки.ру задался вопросом, для чего пригодилась такая какие преимущества и система его клиентам и банку она снабжает.
самая серьёзной проблемой интернет-банкинга есть надежная аутентификация клиента. Как выяснить, что на той стороне канала связи находится авторизованное лицо, а не преступник? И при каждом запоздало найденном мошенничестве банк поднимается перед задачей: компенсировать клиенту утрату денег либо забрать убытки на себя.
Глава управления безопасности IT СМП Банка Павел Головлев заявил день назад о запуске пилотного проекта с совокупностью PayControl, которая разрешит снизить затраты на обеспечение клиентов средствами двухфакторной аутентификации, в особенности в свете предполагаемых трансформаций в положение ЦБ о защите нововведений и информации во всем известную 9-ю статью закона 161-ФЗ, потому, что позволяет гарантированно уведомить клиента о делаемой трансакции. Очень важно, что наряду с этим не понижается уровень удобства для клиента.
Любой банк по-своему решает задачу аутентификации клиента. Самый распространенный способ, кроме стандартной аутентификации по паролю и логину, — одноразовые пароли, каковые смогут присылаться в СМС-сообщениях, выдаваться клиенту на скретч-картах либо же генерироваться особым устройством, находящимся у клиента.
Казалось бы, одноразовый пароль снабжает надежную защиту, поскольку преступник не имеет возможности его определить, не заполучив, соответственно, телефон клиента, скретч-карту либо генератор пароля.
Но в аутентификации по одноразовому паролю имеется значительный недостаток: он никак не привязывается к подтверждаемой им операции, соответственно, уязвим для фишинга. Это позволяет преступнику, забрав под контроль устройство клиента, благодаря которому он трудится с совокупностью ДБО (компьютер, планшет, смартфон), подменить клиентскую операцию собственной. Клиент уверен в том, что подтверждает одноразовым паролем собственную операцию, а банку приходит совсем вторая операция, подтвержденная самым настоящим одноразовым паролем, что клиент собственноручно вбил на странице, так похожей на страницу совокупности ДБО его банка
Существуют и другие средства аутентификации, лишенные этого недочёта. Для аутентификации с привязкой к операции возможно применять криптокалькулятор, что генерирует одноразовый пароль, зависящий от введенных в него платежных реквизитов, либо оптический токен, считывающий реквизиты с экрана.
Такое устройство стоит денег (причем при оптических токенов — больших), и клиент должен носить его с собой, в противном случае и пара устройств — по одному на любой банк.
Красивым, хоть и небесспорным с позиций безопасности ответом есть применение в качестве для того чтобы устройства простого смартфона. Эта возможность заинтересовала СМП Банк и еще пара больших банков, начавших пилотные проекты по внедрению совокупности PayControl, созданной отечественной компанией SafeTech.
Совокупность PayControl складывается из двух модулей, один находится на стороне банка, второй — в мобильном устройстве клиента. При создании клиентом платежного документа в совокупности интернет-банка PayControl генерирует QR-код (двухмерная разновидность штрихкода), содержащий фактически целый текст документа, подписанный цифровой подписью банка.
Аэрография. Роспись крышки телефона Samsung
