Защищая только транзакционную часть мы рискуем все равно попасть на нарушения нормативных требований. Например, по новому ФЗ-161 необходимо уведомлять клиента о каждой транзакции. А если уведомления не было? Кто будет виноват? Правильно, банк. Поэтому защищая ДБО необходимо не забывать по обе составляющие.
Допустим, не забыли. Но опять, говоря о защите транзакционной ДБО, что конкретно мы имеем ввиду? Защиту Интернет-банкинга? Защиту мобильного банкинга? Возможно. А что насчет телефонного банкинга? У меня в банке, например, реализована система телефонного банкинга через IVR (Interactive Voice Response). Защищен ли доступ к ДБО через этот, не самый распространенный способ дистанционного доступа к своему счету? Был несколько лет назад такой прецедент в России — один крупный банк, столкнувшись с ростом мошенничеств в своей системе Интернет-банкинга, усилил меры защиты. и ввел одноразовые коды подтверждения каждой транзакции. Но только в Интернет — телефонный банкинг был забыт, чем и не преминули воспользоваться злоумышленники.
Резюмируя, могу сказать, что танцевать, выстраивая систему защиты ДБО, надо не от угроз, о которых много пишут в Интернете, и не от предлагаемых средств защиты, которые массово предлагаются отечественными и западными вендорами. Отталкиваться нужно от объекта защиты. Мысль тривиальная, но о ней часто забывают, сразу переходя к защите, не проведя предварительного анализа объекта защиты, его рисков и грозящих ему угроз. Такая поспешность к добру не приведет.
наши юристы говорят, что отправка уведомления по авторизованному каналу связи (телефон) считается фактом уведомления (при наличии соответствующего подтверждения), независимо от того получил клиент sms-ку или нет. Защищенность канала связи обеспечивает провайдер в соответствии с ФЗ "О Связи".
Резона делить ДБО на информационный и транзакционный нет.
опять же, если убрать экзотику типа телефонного банкинга (насколько я понимаю речь о стационарном телефоне), то по всем остальным случаям транзакционной ДБО система подтверждения одноразовыми паролями (разными видами реализации) на сегодня рулит.
Хотя в целом такая классификация ДБО полезна 🙂
Для начинающих :)))
Осталось только узнать как юристы могут доказать факт оповещения 😉
И IVR тоже по одноразовым паролям?
Документально 😉
Область применения одноразовых паролей я ограничил сразу. Телефонный банкинг (включая IVR) в нее не входит (сообщение №2) 🙂
А у меня он есть 😉 И иногда бывает очень полезен