ДБО для розницы: есть ли будущее?

Закон «О Национальной платежной системе» и новые

риски для банков

Компания «БИФИТ»

ЕКАТЕРИНБУРГ, 2012

IX КОНФЕРЕНЦИЯ B+S

2

21 декабря 2012 года

по календарю майя

наступит конец света

…может быть

3

1 января 2013 года

вступает в силу

ст. 9 Закона 161-ФЗ

«О Национальной

платежной системе»

И это, к сожалению,

точный факт

4

П. 4:

Оператор по переводу денежных средств обязан информировать

клиента о совершении каждой операции с использованием электронного

средства платежа путем направления клиенту соответствующего

уведомления в порядке, установленном договором с клиентом.

П. 13:

В случае, если оператор по переводу денежных средств не исполняет

обязанность по информированию клиента о совершенной операции

в соответствии с частью 4 настоящей статьи, оператор по переводу

денежных средств обязан возместить клиенту сумму операции,

о которой клиент не был проинформирован и которая была совершена

без согласия клиента.

161-ФЗ: статья 9

5

П. 15:

В случае, если оператор по переводу денежных средств исполняет

обязанность по уведомлению клиента - физического лица

о совершенной операции в соответствии с частью 4 настоящей статьи

и клиент - физическое лицо направил оператору по переводу денежных

средств уведомление в соответствии с частью 11 настоящей статьи,

оператор по переводу денежных средств должен возместить клиенту

сумму указанной операции, совершенной без согласия клиента

до момента направления клиентом - физическим лицом уведомления.

В указанном случае оператор по переводу денежных средств обязан

возместить сумму операции, совершенной без согласия клиента,

если не докажет, что клиент нарушил порядок использования

электронного средства платежа, что повлекло совершение операции

без согласия клиента - физического лица.

161-ФЗ: статья 9

6

При любом инциденте с физическим лицом банк:

1. Обязан возместить клиенту сумму

оспариваемой транзакции

2. Несет бремя доказывания вины клиента

161-ФЗ: выводы и последствия

При предоставлении физическим лицам услуг по

использованию электронных средств платежа

(включая ДБО) банк несет риски финансовых потерь

7

Жертва

хищения

161-ФЗ: разновидности рисков

«Потребительский

террорист»

8

1. Количественное ограничение рисков

2. Общее повышение безопасности

Пути снижения рисков

9

Суть решения: ограничить (лимитировать) суммы транзакций

Проблемы:

1. Ограничения со временем могут меняться

2. Разным категориям клиентов нужны разные лимиты

3. Лимит должен зависеть от способа подтверждения

Количественное ограничение рисков

Вывод: настройка лимитов должна быть максимально гибкой,

допускать оперативное изменение

и сегментацию клиентской базы

10

Тренды:

1. Рост угрозы дистанционных хищений,

в том числе и со счетов и карт физических лиц

2. Актуальная угроза – подмена содержимого

транзакции (например, троян ZeuS)

Крайне важно обеспечение защиты содержимого

транзакции от модификации

Повышение уровня безопасности

11

Методы защиты транзакций:

1. SMS-подтверждение

2. MAC-токены

3. EMV CAP

4. QR-мидлеты

Повышение уровня безопасности

12

MAC-токены: алгоритм работы

1. В устройство вводятся ключевые реквизиты документа

2. Устройство вычисляет код подтверждения от введенных

данных и «секрета» (ключа), зашитого в устройство

на этапе производства

3. Пользователь вводит код подтверждения в компьютер

для передачи на сервер вместе с документом

4. Сервер верифицирует код подтверждения

(симметричный алгоритм)

13

MAC-токены

Преимущества

- абсолютная неуязвимость устройства

- получение кода подтверждения сразу

(по сравнению с вариантом получения SMS)

- дополнительные функции (аутентификация)

Недостатки

- потребность ввода полей документа с клавиатуры

14

MAC-токены

Оптимизация использования

Применение устройств с вводом данных без клавиатуры

1. Акустический канал ввода

Источник: динамик («бипер») компьютера

2. Оптический ввод

Считывание кодированной информации с экрана

компьютера через встроенные в устройство фотоэлементы

Vasco DP 835A Vasco DP 736Карта AGSES

15

MAC-токены

Оптимизация использования

2. Оптический ввод. Принцип работы

16

EMV CAP: алгоритм работы

Процедура работы аналогична MAC-токену:

ввод реквизитов в устройство (картридер),

отправка кода подтверждения на сервер

и его симметричная проверка

Код подтверждения вычисляется в чипе

EMV-карты

17

EMV CAP

Преимущества

- простота дистрибуции (карта уже привязана клиенту)

- независимость от вендора (используется любый картридер

с поддержкой EMV CAP)

Недостатки

- «цена входа» на малых проектах (стоимость криптомодуля

и сервера аутентификации)

- необходимость наличия у банка чиповых карт

18

Позволяют в том числе задавать лимиты по транзакциям

частных клиентов

Ключевые особенности:

1. Неограниченное число профилей

2. Свой лимит для каждого способа подтверждения (OTP, SMS,

MAC, ЭП по ГОСТ…)

3. Гибкость настройки для разных типов операций

(внешние/внутренние, рублевые/валютные и т.д.)

Профили безопасности в iBank 2

1. MAC-токены VASCO поддерживаются с 2009 года

2. EMV CAP поддерживается с 2011 года

(в стандартной версии!)

3. Завершаются работы по встраиванию поддержки

MAC-токенов ActivIdentity

4. Ведутся технологические работы по встраиванию

поддержки новых решений (с оптическим вводом

информации)

19

MAC-токены и EMV CAP в iBank 2

20

Шилов Станислав

shilov@bifit.com

ДБО для розницы: есть ли будущее?

Закон «О Национальной платежной системе» и новые

риски для банков