Первый банковский!: Система "Интернет-Банкинг" Народного Банка - Первый банковский!

Перейти к содержимому

  • 2 Страниц +
  • 1
  • 2
  • Вы не можете создать новую тему
  • Тема закрыта

Система "Интернет-Банкинг" Народного Банка Задавайте любые вопросы Оценка: -----

#21 Гость_Konstantin_*

  • Группа: Гости

Отправлено 21 August 2003 - 21:02

При работе с системой через Интернет, программа PrivateWire создает защищенный канал между клиен том и банком. Любые вторжения из вне в данный момент исключаются. Ключ формирования ЭЦП хранится только на внешних носителях. Поэтому все огрехи Windows нашим клиентам по барабану.

Что касается разработки ПО под Linux, то учитывая крайне низкий процент таких пользователей ни мы, ни израильские партнеры не видят целесообразности в данных доработках.

В вашем случае рекомендую поставить вторую операционную систему на машину либо использовать для проведения операций доступ из Интернет-кафе или Интернет-касс.

0

#22 Гость_студентка_*

  • Группа: Гости

Отправлено 23 August 2003 - 23:44

Здравствуйте,
Я прочитала ваши ответы, и у меня возник ряд вопросов.  Прежде всего, не могли бы вы рассказать о распределении ответственности в случае пропажи денег со интернет-счета в соответствии с вашим типовым договором и нашим законодательством B)? Такие случаи с online banking в мире повсеместны и как они регулируются в вашем договоре?
Далее, меня интересует ваша реализация ЭЦП. На мой взгляд, схема PKI одна из самых надежных, однако в ней обычно присутствует Удостоверяющий Центр (или Certification Authority) (третье лицо, вызывающее доверие, функция которого идентифицировать подписывающее лицо и выдать ему сертификат открытого ключа). Часто эта деятельность лицензируется. Является ли ваш Банк таким Центром?
К тому же, PKI потому и надежна, что закрытый ключ не знает никто, кроме самого пользователя. Пользователь сам генерит ключи, затем регистрирует открытый (несекретный) ключ в УЦ.  В вашем случае ключи генерятся в банке, то есть возможность утечки информации в банке (чего можно избежать). Конечно, если не доверяешь банку, то нечего туда и деньги класть, однако, как я (пользователь) буду завтра доказывать, что я не отдавал никому секретную дискету, а думаю что это при генерации ключей у меня копию секретного ключа и сняли? И тут опять вспоминаешь о последствиях пропажи денег со счета, кто будет за это платить при такой системе?
Последний вопрос о смарт-токенах, которые у вас предполагается ввести, это тоже асимметричная подпись c открытым и закрытым ключами (ведь другой наш закон вроде не признает за эквивалент обычной росписи)? Или же это типа Smart ID ot RSA (симметрия)?
:)

0

#23 Гость_Konstantin_*

  • Группа: Гости

Отправлено 25 August 2003 - 10:35

1. В случае если возникает спорная ситуация создается Экспертно-техническая комиссия в составе представителя банка, клиента, разработчика средства аутентификации и независимого эксперта, которые решают данный вопрос в соответствии с пп. 5.1 - 5.9 Приложения к Договору аутентификации (http://www.mybank.kz..._autentifik.htm). Не согласен на счет "повсеместности пропажи денег со счетов". Там где используется аутентификация по паролю - да, случаи довольно часты. Пропажи денег со счетов систем с использованием ЭЦП мне пока не известны.
2. В данном случае наш банк является Удостоверяющим Центром. Закон об ЭЦП только начал действовать и очертания прописанного независимого Удостоверяющего центра пока очень расплывчаты, а мы уже работаем 3 года. Ключи генерятся в банке. Уровень секретности при этой процедуре регулируется жесткими внутренними правилами и довольно высок. Кроме этого есть ряд механизмов защиты клиента, которые включаются в момент покупки носителя с закрытым ключом - это наше ноу-хау, о котором мы умолчим. Ну и у пользователя всегда есть возможность поменять пароль для доступа к ключу, что мы настоятельно требуем от клиентов при первом доступе ко счету.
3. Смарт-токен - это надо полагать вы объединили смарт-карты и e-token в один носитель :-), но тем не менее это всего лишь носители для закрытого ключа клиента.

0

#24 Пользователь офлайн   студентка 

  • Стажер
  • Группа: Банкир
  • Сообщений: 7
  • Регистрация: 24 August 03

Отправлено 26 August 2003 - 16:12

Здравствуйте, Константин, спасибо за ответ!
Посмотрела Ваш типовой договор, на который вы ссылаетесь. Интересны некоторые его статьи о защите прав потребителя.
К примеру: «Клиент признает, что ключевой носитель, полученный им от Банка, выпущен в единственном экземпляре. Клиент признает, что алгоритм формирования ЭЦП с использованием ключевого носителя надежен и формирование электронной подписи к указанию о переводе денег возможно только при наличии у отправителя ключевого носителя и знания им пароля доступа к ключевому носителю..» То есть банк тем самым обезопасил себя, а Клиент заранее согласился, что вариант копирования закрытого ключа ЭЦП невозможен, не так ли? Практически/теоретически-то это возможно (см. предыдущий вопрос), но юридически клиент бесправен.
Читаем далее:
«5.2. Каждая Сторона не несет ответственности за убытки, понесенные другой Стороной не по вине первой в результате использования электронных документов, в том числе при исполнении ошибочных электронных документов, если эти документы одной Стороной были надлежащим образом оформлены и доставлены, а другой Стороной проверены и приняты.» Не поняла, объясните!!! Как могут произойти ошибки не по вашей вине, если я все правильно сделала и отправила, а вы все приняли? Расскажите о таких  случаях. Вы несправное ПО имеете в виду(я думаю, это все же ваша вина), тех. неполадки, связанные с интернетом или же хакерские проделки (но вы ведь пользуетесь ЭЦП, как вы сами сказали таких случаев нет)?
Но больше всего меня интересует это особое условие:
«7.1. Клиент и Банк взаимно обязуются принимать на себя в полном объеме все обязательства, вытекающие из электронных документов, если при проверке ЭЦП признается достоверной и к моменту приема электронного документа не было зафиксировано официального заявления Клиента о блокировке ключевого носителя или доступа к счету.»
Как правило, секретным ключом (который на дискете, а потому незаметно копируется) сначала воспользуются, а затем Клиент узнает, когда деньги уже пропали и бежит в банк с официальным заявлением.  И зачем потом создавать «Экспертно-техническую комиссию в составе представителя банка, клиента, разработчика средства аутентификации и независимого эксперта» (см. Ваш ответ) и где же тут спорная ситуация, если Клиент в договоре уже согласился, что любая роспись его ключом считается его росписью? Незачем доказывать факт воровства. Разве, чтобы пошуметь B).

Пароль доступа к ключу, насколько я понимаю, защитит мои деньги от коварного братишки, который найдет секретную дискету, а не от хитрого и злого сотрудника банка, генерящего ключи. Я, конечно, понимаю, что у вас «жесткие внутренние правила», но человеческий фактор  все же безосновательно присутствует.

Насчет Smart ID or RSA, я привела аналогию (извините, точнее Secure ID от RSA in Smart cards and tokens), они реализуют как смарт карты, так и токены (брелки), на мой взгляд, относительно безопасная технология, когда доступ к брелку обеспечивается посредством пароля и брелок ежеминутно генерирует новый код, который распознается ПО банка, причем подпись получается намертво привязана к «железу» (брелку) и поэтому не копируется (хотя о полной безопасности трудно утверждать при наших-то совковых хакерах). Но это решение не асимметрия (открытый, закрытый ключ), а симметрия, которую наше законодательство не признает, не так ли? Поэтому и попросила рассказать побольше о Вашем решении с брелками.    

А вообще, я думаю, в такой защите прав потребителя и узости криптографический решений виновно наше недоработанное законодательство. При всемирном развитии биометрии с симметрией зациклились на открытых/закрытых ключах. Более того, в США и Европе ответственность сторон регулируется зак-вом, а не предлагается банком посредством договора, который никогда обычный клиент оспаривать не станет, весовые категории разные. Ну, это я отвлеклась от обсуждения J

0

#25 Пользователь офлайн   Konstantin 

  • Ведущий специалист
  • Группа: Банкир
  • Сообщений: 107
  • Регистрация: 14 March 02

Отправлено 01 September 2003 - 10:05

На минуту забежал на работу, поэтому очень коротко:
1. Описание технологии и всего что связано с USB-токенами мы выложим на наш сайт, когда начнем их продавать. Пока тестируем. Наберитесь терпения B)
2. Как я уже сказал - я не юрист, поэтому если вы хотите подискутировать на тему "ЭЦП в мировом законодательстве" перешлите на меня, пожалуйста, те документы, что вы перечислили (KonstantinG@halykbank.kz). Я вам буду очень благодарен.
3. Очень приятно общаться со столь продвинутой  "студенткой". У нашей страны великое будущее, коли даже студенты имеют свои счета в зарубежных банках :). Только мне не совсем понятно зачем вам счет там, если вы живете здесь?

0

#26 Пользователь офлайн   студентка 

  • Стажер
  • Группа: Банкир
  • Сообщений: 7
  • Регистрация: 24 August 03

Отправлено 01 September 2003 - 16:11

Ну, вы сначала сами долго дискутировали относительно зак-ва, а теперь просите документы, которые есть в интернете, между прочим. А насчет счета, если человек живет какое-то время за границей, ИБ счет становится необходимостью. И я не понимаю, к чему ирония о будущем Казахстана B) А насчет студентов, учащихся или просто ездиющих за границу, этим сегодня никого не удивишь.
0

#27 Пользователь офлайн   Konstantin 

  • Ведущий специалист
  • Группа: Банкир
  • Сообщений: 107
  • Регистрация: 14 March 02

Отправлено 02 September 2003 - 08:40

Ну вот я смотрю вы начали обижаться. Прочтите внимательно весь топик, я дискутировал лишь о российском законодательстве, по которому писался наш закон об ЭЦП. Что касается Запада я говорил лишь о реализованных на практике вещах, которые мне знакомы. Не понятно, что вас так обидело в невинной просьбе выслать документы?
О том что вы учитесь/учились за границей вы упомянули впервые.

0

Поделиться темой:


  • 2 Страниц +
  • 1
  • 2
  • Вы не можете создать новую тему
  • Тема закрыта