Немаловажным фактором обеспечения безопасности в телефонной части системы является то, что все выполняемые операции определены и согласованы с клиентом заранее, т.е. платежи осуществляются лишь по реквизитам, заверенным клиентом. В любом случае, злоумышленник не сможет внести в систему собственные реквизиты.
В бэк офисе системы имеется возможность установления лимитов на проведение конкретных операций и общего лимита списания средств с текущего счета клиента. При правильной расстановке сумм лимитов полностью исключается "опустошение счета" даже в случае утери карты ключей и открытости пароля.
В системе имеется сложная экспертная система оперативного выявления "подозрительных" (fraud) операций. При авторизации операции производится ее проверка по многим критериям обеспечения безопасности, установленными администратором безопасности системы.
В случае выявления "подозрительной" операции ее автоматическое выполнение системой приостанавливается и далее производится переключение клиента на оператора системы. Оператор имеет возможность задать клиенту определенный круг конфиденциальных вопросов. В случае получения корректных ответов клиент может продолжить выполнение операции, однако не в автоматическом режиме. Все данные, необходимые для проведения операции, он произносить голосом оператору, который в свою очередь, вводит их в систему. При этом диалог клиента и оператора фиксируется "черным ящиком" - регистратором переговоров.
Информация, зафиксированная "черным ящиком", может в дальнейшем использоваться для разрешения конфликтных ситуаций, и в частности, быть рассмотрена при судебном разбирательстве.
При проведении банковских операций через сеть интернет комплекс мер по обеспечению безопасности значительно расширен. Вместо таблицы одноразовых ключей клиенту выдается специализированное устройство обеспечения безопасности - токен. Токен представляет из себя миниатюрное устройство, снабженное клавиатурой и жидкокристаллическим индикатором. Для доступа к токену первоначально необходимо ввести ПИН. Функции токена в общем сводятся к генерации одноразовых ключей и проставлении электронного сертификата (ЭЦП) на проводимую операцию.
Первоначально токен персонализируется. На этапе персонализации в него заносится секретный ключ. При входе в систему токен производит генерацию одноразового ключа, который клиент вводит в качестве пароля. При этом можно стопроцентно декларировать, что именно владелец токена получил доступ к системе.
Далее, при выполнении операции производит передача в токен всех ее параметров (реквизиты) в токен в "свернутом" виде. После ввода параметров операции в токене происходит генерация электронного сертификата для данной операции. Сертификат генерируется на основании секретного ключа, хранящимся в токене. Сертификат позволяет точно детерминировать следующее:
Операция произведена владельцем токена.
Сохранность данных, которые ввел клиент.
При попытке изменения любых данных в операции сертификат теряет силу, что приводит к приостановлению обработки операции в БЭК ОФИСЕ. Немаловажен и тот факт, что банк на основании электронного сертификата сможет юридически обоснованно предоставить клиенту доказательства ввода им реквизитов операции в случае возникновения конфликтной ситуации.
Токен также может быть использован при выполнении операций в телефонной части системы.
Альтернативой использованию токена в системе является использование программных средств криптозащиты - Электронной Цифровой Подписи (ЭЦП). В настоящий момент используется разработка российской компании ЛанКрипто. В случае использования ЭЦП клиенту выдается дискета с его закрытым ключом. При использовании ЭЦП проставление электронной подписи на операцию в системе "Телебанк" полностью аналогично подписанию платежного документа в системе "Клиент-банк".
При создании подобных систем банкам следует обращать внимание прежде всего на вопросы обеспечения должной защищенности и лицензирования деятельности, маркетинга этих услуг, четко отрабатывать исполнения в банке всей цепочки процедур и при необходимости даже создавать новые подразделения для работы с удаленными клиентами.
Операции с протекцией: В системах электронных расчетов, как правило, осуществляются операции двух типов:
А) Типовая расчетная операция, при совершении которой денежные средства списываются со счета плательщика и зачисляются на счет получателя. Участники некоторых платежных систем могут осуществлять платежи и с участником и с не участником системы.
Б) Расчетная операция с банковской протекцией (защитой), при которой плательщик производит платеж и самостоятельно определяет код протекции. Срок действия протекции плательщик также определяет самостоятельно, либо по согласованию с получателем (например, срок протекции может быть равен сроку действия договора).
Банковская защита операции заключается в том, что на счете плательщика резервируется сумма в размере платежа, а на счет получателя поступает уведомление о совершении операции в размере вышеуказанной суммы.
Возможные варианты завершения платежа с протекцией:
А) Если между получателем и плательщиком при сделке не возникли конфликты, срок протекции еще не закончился и плательщик удовлетворен результатами сделки (качеством товара или услуг, сроками и т.п.), то плательщик передает (сообщает) получателю код протекции. Получатель проверяет код протекции, после чего он становится обладателем денежных средств, которые списываются со счета плательщика.
Б) Если получатель не выполнил своих обязательств в указанный срок протекции операции, то, по истечении срока протекции, зарезервированная на счете плательщика сумма автоматически разблокируется и становится доступной для других платежных операций.
Для нас также было очень интересны практические решения специалистов "Гута-банка", с точки зрения организации работы с клиентами, выраженные в типовых правилах использования сертификатов и электронной цифровой подписи при дистанционном банковском обслуживании с помощью системы Телебанк-Онлайн (приложение Д) и правил расчетно-кассового и дистанционного банковского обслуживания клиентов - физических лиц (приложение Е).
2.5.2 Системы платежей через Интернет банка "Платина".
Один из важнейших факторов, определяющих темпы развития электронной коммерции, - развитость систем безналичных расчетов. Недостаточная распространенность в России банковских карт, особенно международных, делает необходимым создание "мультиинструментальных" систем расчетов через Интернет, ориентированных на различные группы покупателей. Такая идеология и была положена в основу универсальной системы платежей через Интернет банка "Платина", которая включает в себя два платежных инструмента - CyberPlat и ASSIST.
Система CyberPlat позволяет трем участникам сделки купли-продажи (покупателю, продавцу и банку) максимально упростить процесс оплаты товаров, приобретаемых через Сеть. Зарегистрированный в системе покупатель получает возможность совершать покупки в виртуальных магазинах и оплачивать их, не отходя от компьютера, в режиме on-line - либо со своего счета в банке "Платина", либо при помощи пластиковой карточки (VISA, Eurocard/MasterCard, Diners Club, JCB), выданной любым банком-эмитентом.
Клиенты, использующие CyberPlat, должны предварительно зарегистрироваться в системе. Регистрация клиентов, а также использование на клиентском месте специального программного обеспечения (поставляемого бесплатно) обеспечивают достаточно высокий уровень безопасности платежей в Интернет.
Все риски, связанные с электронным мошенничеством, банк "Платина" берет на себя. Поэтому CyberPlat представляет собой защищенную систему, которая может быть эффективно использована для проведения безналичных платежей между участниками. Это свойство делает систему весьма притягательной для корпоративных взаиморасчетов, когда размеры платежей могут быть весьма велики (например, в секторе business-to-business). На сегодняшний день обороты в корпоративном секторе CyberPlat превышают 50 млн руб. в месяц.
Платежный сервер ASSIST, предназначенный для авторизации кредитных карточек через Интернет по стандартному SSL-протоколу, функционирует в рамках правил международных платежных систем проведения Интернет-платежей по банковским картам. Предварительная регистрация здесь в отличие от CyberPlat не является обязательной. Поэтому этим способом оплаты могут воспользоваться и "разовые" покупатели, что существенно расширяет базу потенциальных клиентов. Так же как и в CyberPlat, в ASSIST можно использовать карточки международных систем, выпущенные любым банком - как зарубежным, так и российским. Однако при этом системные риски пропорционально делятся между расчетным банком и магазином.
В настоящее время число пользователей платежных инструментов CyberPlat-ASSIST превысило 5 тыс. человек, платежи от которых принимают свыше 30 Интернет-магазинов. Таким образом, платежная система СуberPlat (www.cyberplat.ru), разработанная специалистами банка "Платина" совместно с компанией "Инист" и эксплуатирующаяся с марта 1998 года, доказала реальную возможность проведения платежей через Интернет, надежность электронной коммерции в России и перспективность данного направления бизнеса. A платежный сервер ASSIST (www.assist.ru), разработанный КБ "Платина" совместно с компанией "Рексофт" и работающий с марта 1999 года, еще более укрепил накопленный в этой сфере опыт. Схематично технология работы системы CyberPlat графически показана и описана в приложении Г.
CyberCheck - подсистема обслуживания транзакций клиентов-покупателей, зарегистрированных в системе интернет-платежей CyberPlat. CyberCheck обеспечивает конфиденциальность, надёжность и юридическую чистоту взаимодействия сторон, а также полное отсутствие отказов от заявленных платежей. Это реализуется механизмами поддержки электронного документооборота с применением имеющим юридическую силу аналогом собственноручной подписи с длиной ключа 512 бит. Благодаря перечисленным свойствам, подсистема используется в схемах класса business-to-business.