что означает дбо в банке
Что такое ДБО?
Дистанционное банковское обслуживание (ДБО) – это комплекс услуг удаленного доступа к различным банковским операциям, которые банки предоставляют своим клиентам (как юридическим, так и физическим лицам).
Пользуясь услугами ДБО, клиенты могут, например, осуществлять удаленный доступ к своим счетам в банке или совершать платежи и переводы при помощи различных технических средств, каналов связи и с использованием специализированных программных продуктов. Такая форма взаимодействия с банком позволяет клиентам получать актуальную информацию из банка или передавать банку свои распоряжения в удобное время без визита в банк.
Термин ДБО является общим для различных технологий предоставления банковских услуг на основании распоряжений клиентов, которые передаются клиентами без их визита в банк (удаленным образом).
В общем случае под услугами дистанционного банковского обслуживания подразумеваются разноплановые электронные услуги, позволяющие обслуживать клиентов с использованием всех каналов доступа: Интернет (on-line и off-line доступ), телефон (обычный или мобильный), карманный компьютер, платежные терминалы и прочие.
Дистанционное банковское обслуживание называют также электронным банкингом, для описания технологий ДБО используются различные, иногда пересекающиеся по значению термины, например, интернет-банкинг, домашний банкинг, телебанкинг, WAP-банкинг, PC-банкинг, мобильный банкинг, SMS-банкинг и другие.
Дистанционное банковское обслуживание
Дистанционное банковское обслуживание (ДБО) — общий термин для технологий предоставления банковских услуг на основании распоряжений, передаваемых клиентом удаленным образом (то есть без его визита в банк), чаще всего с использованием компьютерных и телефонных сетей. Для описания технологий ДБО используются различные в ряде случаев пересекающиеся по значению термины: Клиент-Банк, Банк-Клиент, Интернет-Банк, Система ДБО, Электронный банк, Интернет-Банкинг, on-line banking, remote banking, direct banking, home banking, internet banking, PC banking, phone banking, mobile-banking, WAP-banking, SMS-banking, GSM-banking, TV-banking.
Содержание
Виды дистанционного банковского обслуживания (ДБО)
Технологии ДБО можно классифицировать по типам информационных систем (программно-аппаратных средств), используемых для осуществления банковских операций:
Системы «Клиент-Банк» (PC-banking, remote banking, direct banking, home banking)
Системы, доступ к которым осуществляется через персональный компьютер. Банк при этом предоставляет клиенту техническую и методическую поддержку при установке системы, начальное обучение персонала клиента, обновление программного обеспечения и сопровождение клиента в процессе дальнейшей работы. Системы «Клиент-Банк» обеспечивают полноценное расчетное и депозитарное обслуживание и ведение рублёвых и валютных счетов с удалённого рабочего места. Системы «Клиент-Банк» позволяют создавать и отправлять в банк платёжные документы любых типов, а также получать из банка выписки по счетам (информацию о движениях на счёте). В целях безопасности в системах «Клиент-Банк» используются различные системы шифрования. Использование систем «Клиент-Банк» для обслуживания юридических лиц до сих пор является одной из наиболее популярных технологий ДБО в России. Системы «Клиент-Банк» принципиально подразделяются на 2 типа (толстый клиент и тонкий клиент):
Банк-Клиент (толстый клиент)
Классический тип системы Банк-Клиент. На рабочей станции пользователя устанавливается отдельная программа-клиент. Программа-клиент хранит на компьютере все свои данные, как правило, это платёжные документы и выписки по счетам. Программа-клиент может соединяться с банком по различным каналам связи. Наиболее часто для соединения с банком используется прямое соединение или через сеть Интернет.
Интернет-Клиент (тонкий клиент) (On-line banking, Интернет-банкинг (Internet banking), WEB-banking)
Пользователь входит в систему через Интернет браузер. Система Интернет-Клиент размещается на веб-сервере банка. Все данные пользователя (платёжные документы и выписки по счетам) доступны на веб-сайте банка. По технологии Интернет-Клиент строятся также системы для мобильных устройств (мобильный сайт банка) — PDA, смартфоны (Мобильный банкинг (mobile-banking). На основе Интернет-Клиент могут предоставляться информационные сервисы с ограниченным набором функций.
У дистанционного банковского обслуживания через Интернет есть ряд как преимуществ, так и недостатков. Так, к преимуществам для организаций, предоставляющих такие услуги, можно отнести невысокую стоимость эксплуатации интернет-системы (все обновления проводятся только на веб-сервере, не тиражируясь у клиентов); возможность интеграции с бухгалтерскими системами клиента; доступность интернет-услуг для конечного пользователя; поддержание лояльности клиентов, активно использующих данные услуги.
Системы «Телефон-Банк» (Телефонный банкинг (phone-banking), телебанкинг, Телефон-Клиент, SMS-banking)
Как правило, системы Телефон-Банк имеют ограниченный набор функций по сравнению с системами «Клиент-Банк»:
Передача информации от клиента в банк может производиться различными способами в зависимости от реализации системы:
Все указанные функции становятся доступными только после персональной идентификации клиента банком на основе системы персональной идентификации. На сегодняшний день наиболее совершенной и безопасной является система на базе биометрических идентификационных карт.
Обслуживание с использованием банкоматов (ATM-banking) и устройств банковского самообслуживания
Технологии ДБО с использованием устройств банковского самообслуживания являются одними из наиболее популярных в мире и в России. Можно выделить несколько видов ДБО по типу используемых устройств:
Финансовое регулирование
Услуги по ДБО регулируются следующими положениями Центрального Банка России:
Кроме того, необходимо учитывать требования:
Услуги по ДБО регулируются следующими положениями Национального Банка Украины:
Электронные банковские услуги
15.2. Электронные услуги дистанционного банковского обслуживания
15.2.1. Преимущества дистанционного банковского обслуживания
ДБО позволяет клиенту контролировать собственные счета, покупать и продавать безналичную валюту, оплачивать коммунальные услуги, доступ в Internet, счета операторов сотовой и пейджинговой связи, проводить безналичные банковские и межбанковские платежи, переводить средства по счетам и др.
ДБО обеспечивает банку следующие конкурентные преимущества.
Выделяют следующие разновидности ДБО клиентов: РС-банкинг, интернет-банкинг, видеобанкинг, обслуживание по телефону, WАР-банкинг, SМS-банкинг.
При наличии специального программного обеспечения и модема PC-банкинг поддерживает прямое соединение персонального компьютера клиента с сетью банка.
В настоящее время выделяют три уровня Интернет-банкинга:
Во втором случае прикладное программно-математическое обеспечение (ПО) представляет собой специальное интернет-приложение, функционирующее только в сеансе диалоговой связи клиента с банком. При использовании подобных систем клиенту не нужно устанавливать ПО и хранить соответствующие электронные базы данных на своем компьютере. В данном случае клиент может получить доступ к своему банковскому счету, войдя в сервер банка в Интернете с любого компьютера, предварительно введя свой пароль и ПИН. Для повышения безопасности в подобных системах применяются различные способы защиты экономической информации от несанкционированного доступа.
Для оплаты счетов по телефону клиент банка пользуется специальным устройством, соединенным с банковским компьютером, которое позволяет получать самую разную информацию о движении средств на своем счете и состоянии финансового рынка, осуществлять платежи по счетам за товары, медицинские услуги, электроэнергию и т. д. Клиент подключается к банковскому компьютеру и вводит номер счета, персональный идентификационный номер, кодовый номер компании получателя денег, сумму платежа.
15.2.2. Информационные системы, используемые при ДБО
При обслуживании клиентов банки придерживаются установленных правил ведения безналичных расчетов (платежей) и расчетно-кассового обслуживания. Соответствующие права и обязанности сторон оговариваются в договоре банковского счета (или в дополнениях к нему).
В состав системы обычно включаются:
Платежное поручение формируется в электронном виде один раз клиентом, а не операционистом банка. Это упрощает ежедневную работу бухгалтера, ускоряет платежи и снижает вероятность ошибки в реквизитах платежа. При поступлении в банк осуществляется проверка электронных подписей на каждом документе, принятом от клиента. Платежные документы клиента хранятся в архиве банковской части системы вместе с электронными подписями, что исключает их искажение в банке. Встроенные средства шифрации обеспечивают передачу информации между банком и клиентом в зашифрованном виде.
Полный список услуг, которые банк может оказывать через Интернет, очень обширен. Он включает в себя, в частности:
При этом стоит обратить внимание на то, что в рамках интернет-банкинга речь идет о высокостандартизированных наборах операций, поскольку они проводятся практически без какого-либо участия банковского персонала.
Особенно широкий спектр услуг через Интернет предлагают своим клиентам «виртуальные» банки США.
При осуществлении ДБО клиентов при помощи телефона и специальных программ, компьютер способен самостоятельно отвечать на вопросы клиента. Такой вид банковского обслуживания использует системы Телебанк.
Телебанк дает клиенту возможность получать различную справочную информацию в речевом и факсимильном виде, а также проводить некоторые активные операции по своим счетам. Конкретно имеется в виду следующее:
Телебанк может дать клиенту возможность пользоваться удобными подсистемами «голосовая почта» и «факсимильная почта» для передачи или получения экстренных сообщений, справочной информации либо документов, не указанных в числе стандартных услуг системы (нормативно-правовых актов, бухгалтерских инструкций и т. п.).
Дистанционное банковское обслуживание, как угроза безопасности ден средств.
Думаю, ни для кого не секрет, что в период эпидемии банки перевели идентификацию клиента полностью через сим карту.
Теперь смс, это аналог паспорта, подписи и личного присутствия в офисе банка.
При этом только за 2020 год клиенты банков за счет этой самой дыры в безопасности лишились миллиардов рублей, которые были похищены у них мошенниками, в т.ч кредитных денег.
Варианты хищения.
1. Соц инженерия, когда клиент сам называет мошенникам смс с кодом. На телефон звонит «СБ банка», при этом называет персональные данные клиента, номера его счетов, суммы и просит назвать клиента смс код. Не знаю как, но этот вариант отлично работает.
У меня такое ощущение лично складывается, что 50% дорогих россиян клинические идиоты.
Другим вариантом данного пункта является просьба к клиенту установить на телефон программу удаленного доступа.
2. Фишинговые сайты. Подмена реальных сайтов банков на левые сайты, на которых вы вводите сами все логины, пароли и смс коды.
Другим вариантом данного пункта является изготовление исполнительного листа (в т.ч настоящего через мировой суд), который подается в банк.
4. Цифровые карты — мошеннику достаточно сделать дубликат симки, получить доступ в интернет банк (об этом ниже), заказать цифровую карту и вывести все деньги, в т.ч можно взять кредит, который у 99% клиентов банков уже висит предодобренный в ИБ.
5. Кражи ден средств сотрудниками банков. В первую очередь у пенсионеров.
Уже куча случаев, банк узнает что клиент умер и денежные средства с вкладов уходят в неизвестном направлении. Спустя 6 месяцев, когда за ними приходит наследник, банк гордо заявляет, что деньги сняты владельцем счета.
При этом сотрудники банка давно не гнушаются и тем что подворовывают деньги даже у живых пожилых клиентов, которые проживают одни.
Все эти способы возможны только по причине того, что банкам плевать на безопасность денежных средств клиентов. На все претензии клиентов следует один ответ — идите в полицию. При этом на запросы полиции банки отвечать аналогично не желают.
На все жалобы в ЦБР следует один ответ — ЦБР не вмешивается в оперативную деятельность банков.
Банкам достаточно
1. Убрать к чертям сброс пароля по смс. Уже сто раз писал что это дыра размеров с вход в метро.
2) Убрать к чертям смс-банк, переводы по смс, кредиты по смс, кредит одной кнопкой и подобное мракобесие.
Ну или на худой конец сделать возможным отключить это навечно, чтобы подключить можно было только в офисе по письменному заявлению под прицелом минимум трех камер для тех странных людей, кому это действительно надо.
Это уже отсечет 90% атак. И начать надо хотя бы с этого.
Потом можно пойти далее:
3) Гибкие лимиты. Снятие кеша, покупки в интернете, исходящие с2с, переводы за границу — чтобы все это настраивалось и по желанию отключалось
4) Соленые коды. Есть, условно говоря, секретная часть, к примеру, 1234, которую никто знать не должен, а-ля пин для интернета. В смс приходит 5678. В результате ввожу 12345678. Чтобы если кто нехороший получит дубликат симки или иным образом доступ к смс, то ему это не сильно поможет
Это отсечет уже 99% атак. Но повторюсь — банкам это не выгодно.
По закону «О защите прав потребителей» п. 2 ст. 16. Запрещается обусловливать приобретение одних товаров (работ, услуг) обязательным приобретением иных товаров (работ, услуг). Убытки, причиненные потребителю вследствие нарушения его права на свободный выбор товаров (работ, услуг), возмещаются продавцом (исполнителем) в полном объеме.
Требование банков в обязательном порядке иметь сотовый телефон, куда они должны прислать смс с кодом для получения продукта или услуги, является незаконным по своей сути.
В зарубежных банках предоставляется право выбора как получать коды: смс, звонок на домашний телефон, код на email, даже письмо (бумажное) в почтовый ящик (в качестве казуистики), а вот в РФ — хочешь получить банковский продукт — купи сначала сотовый.
По поводу доступа в ИБ.
Для того чтобы украсть ваши деньги достаточно сделать дубликат симки и
1. Открытие — знать дату вашего рождения.
2. РСХБ — логин (который можно получить либо в банкомате либо у сотрудника банка).
3. Сбер, альфа — банк, почта банк, втб — тут о какой то безопасности даже речи нет. Все операции можно провести по дубликату сим карты.
Самый большой процент хищении происходит именно через эти банки.
4. Газпромбанк и ПСБ единственные из топ 10 не подключают ДБО без дополнительного договора.
По брокерским счетам все аналогично, но чуть сложнее — достаточно сделать дубликат симки, вывести активы на банковский счет, с которого уже и совершать хищения.
Либо банальный перелив активов посредством купли — продажи на разных счетах.
Случаев пока мало, но только по тому что мошенникам достаточно и клиентов банков. Думаю дело времени.
Варианты решения проблемы.
Россияне массово закрывают не только рублевые, но и валютные депозиты. С начала года клиенты банков забрали свыше 1 трлн рублей. Не лучше дела со сбережениями в валюте: за год с небольшим россияне вывели из банков 15 млрд долларов. Объем таких вкладов — на минимуме за девять лет, пишут РИА Новости.
По данным ЦБ, за 13 месяцев из банков вывели 15,5 млрд долларов, сократив общий объем депозитов до 61,4 млрд — минимум за девять лет. С октября 2019-го по ноябрь 2020-го банки потеряли каждый пятый доллар со вкладов физлиц.
Самая мощная волна пришлась на март, при первом ударе пандемии и обвале рубля — минус 5 млрд долларов. А в октябре и ноябре банковская система лишилась 1,7 млрд долларов физлиц. Лидируют по бегству валютных вкладчиков ВТБ, не досчитавшийся 246,2 млн долларов в ноябре, СберБанк (189,1 млн), Газпромбанк (146,7 млн) и Альфа-Банк (136,4 млн). Из 11 системно значимых банков за месяц утекло 854 млн долларов.
Я лично, закрыл счета во всех банках с навязанными картами и ДБО.
Отозвал персональные данные.
После получения данного заявления прошу прекратить обработку моих персональных данных в срок до 30 дней.Так же прошуОтключить мне дистанционное банковское обслуживание, во избежание доступа к нему третьих лиц.Предоставить справку об отсутствии между мной и банком договорных отношений.Ответ прошу направить по адресу ххх. Подпись, дата.
По тем банкам, в которых еще пока храню денежные средства (системообразующие банки топ 10). Расторг договора по ДБО, закрыл все карты.
В связи с частыми звонками на мой контактный номер телефона третьих лиц, которые представляются сотрудниками банка, при этом данные третьи лица в полной мере обладают моей персональной информацией.
Те банки, которые отказались расторгнуть со мной договор на ДБО, ссылаясь на то что нет тех возможности, занес в черный список закрыв все счета.
По брокерским счетам ДБО оставил, т.к хищения тут работают в основном в связке с банковским счетом.
На будущее поглядим.
В целом рассматриваю вариант ухода в нал, т.к ситуация в БС с каждым годом все хуже. Хищения ден средств, блокировки на основании 115 ФЗ, низкие ставки, продажа ПД, кабальные договоры и тд.
Пока закупаю валюту лесенкой.
По бумагам.
Ранее планировал на росте ставок уйти в народные и биржевые ОФЗ, но тут налоговая решила отменить налоговый вычет по ЦБ, оставив его по вкладам.
Таким образом народные ОФЗ покупать стало не выгодно, за счет того что они торгуются ниже номинала и срок у них менее 3 лет.
По биржевым действует 3 летняя льгота на владение + можно открыть ИИС с вычетом на доход, покупать бумаги выше номинала и сальдировать убыток с купонным доходом. Но это в теории, на практике поглядим.
Единственное, брокер Открытие не подходит, т.к они сразу на ИИС изымают налоги с купонов, в отличие от других брокеров (ВТб, ПСБ, сбер).
Но в целом конечно правила в очередной раз усложнились. По сути шкурка уже давно выделки не стоит.
По акциям. Рассматривал валютные акции.
1. Это рисковый актив.
2. Не устраивает валютная переоценка.
3. Налоги. Мало того что придется рисковать, так еще придется платить дань за этот самый риск.
4. Не нравится мне ВТБ брокер, а у него самые низкие тарифы на СПБ бирже. Платить в 2 раза больше не готов, проще отказаться.
Буду закупать только на ИИС, на небольшие суммы, на падении, лесенкой.
Таким образом для сохранения основной массы ден средств, кроме наличной валюты, альтернативы государство мне лично не оставляет.
PS Пока писал текст на телефон пришла смс — «Тинькофф банк. У вас задолженность по налогом в размере 170 тыс. Для подробностей перейдите по ссылке.»
На такую хрень реально кто то ведеться?
Приходили смс от реальных банков по типу — «Подтвердите заявку на кредит вводом смс».
Дистанционное банковское обслуживание
«Бухгалтерия и банки», 2009, N 8
Современное состояние банковской системы России характеризуется усилением конкурентной борьбы банков за клиента. Важную роль в привлечении клиентов играет повышение качества обслуживания, что означает возможность банка предоставить широкий круг услуг там и тогда, где и когда пожелает клиент. Клиент должен иметь возможность получать банковские услуги в течение 24 часов в сутки и 365 дней в году, т.е. его обслуживание не должно регламентироваться режимом работы банка. Кроме того, клиенту должно быть обеспечено банковское обслуживание в разных местах его пребывания (дома, в офисе, в пути) в разных точках земного шара. При этом должна обеспечиваться высокая точность, оперативность, безопасность ведения банковских операций.
Указанные требования реализуются системами удаленного банковского обслуживания (СУБО).
Первоначально СУБО использовались для обслуживания юридических лиц, затем эти системы стали применяться и при реализации банковских услуг физическим (частным) лицам.
Принципы функционирования СУБО
Построение систем удаленного банковского обслуживания требует решения следующих задач:
СУБО реализуют функционирование электронного банкинга, под которым понимается дистанционное обслуживание клиента с использованием электронных сообщений, поступающих от клиента в банк и из банка клиенту. Электронное сообщение представляет собой электронный образ бумажного документа определенного содержания и формы. Оформленное соответствующим образом электронное сообщение имеет юридическую силу как обычный платежный бумажный документ.
В зависимости от программных и технических средств, использующихся для реализации электронного банкинга, выделяются следующие его виды:
Технология удаленного банковского обслуживания позволяет клиенту получать банковские услуги, не посещая банковский офис, и предполагает наличие клиентских счетов, хранящихся централизованно и допускающих удаленное управление ими. СУБО предполагают работу со счетами клиента банка в режимах онлайн и офлайн.
Исходя из необходимости комбинировать разновидности УБО, очевидно, что решать эту задачу следует комплексно. Одновременная эксплуатация нескольких, пусть даже и самых передовых, систем, реализующих тот или иной вид УБО, всегда значительно дороже, чем эксплуатация одной комплексной системы.
Интернет-банкинг
Для работы в интернет-банкинге клиент может использовать современный компьютер с любой операционной системой, любым Web-браузером и доступом в Интернет. Интернет-банкинг строго соответствует концепции «тонкого клиента», т.е. отсутствия специализированного программного обеспечения (ПО) на стороне клиента.
Интернет-банкинг использует справочники корреспондентов и бенефициаров, позволяя клиенту достаточно быстро и просто проводить рублевые и валютные переводы, имеет механизм отзыва документа, ранее отправленного в банк. Отзыв документа формируется из списка документов, подписывается клиентом и вместе с копией отзываемого документа и с указанием причины отзыва направляется в банк. На банковской стороне поддерживаются ручной и автоматический режимы отзыва документа.
В системе может быть реализован механизм обмена информацией с бухгалтерскими программами клиентов. Поддерживается импорт и экспорт всех типов документов через обмен файлами в текстовом формате.
В интернет-банкинге предусмотрено управление рассылкой уведомлений. Для доставки уведомлений могут использоваться электронная почта и SMS. Условия рассылки настраиваются клиентом. Уведомления могут рассылаться по факту зачисления или списания средств со счета или карты клиента, по результатам обработки отправленных ранее клиентом документов. По расписанию рассылаются выписки, курсы валют, другая банковская информация.
Существуют три основных решения по реализации транзакций между клиентом и БД банка с применением интернет-технологий:
Система интернет-банкинга обычно состоит из следующих модулей:
Третий тип сервера, «виртуальный банк», является «виртуальным» офисом и выполняет те же функции, что и традиционный банковский офис. Зайдя в любое время на этот сервер, клиент может получить необходимую информацию о банке, заключить договоры об оказании услуг, открыть счета, работать с ними.
Помимо основных компонентов, в системе могут присутствовать модули обеспечения безопасности.
Традиционное решение для российского рынка выглядит следующим образом. На стороне клиента устанавливается специальное ПО, дополнительные Plugin-модули, а иногда и аппаратные средства. Для работы в системе клиентом используется Web-браузер.
Интернет-банкинг реализует функционирование УБО в режиме онлайн.
PC-банкинг
PC-банкинг является реализацией удаленного банковского обслуживания в режиме офлайн. В функциональном плане интернет-банкинг и PC-банкинг полностью идентичны: поддерживаются единый интерфейс, единые типы документов, единые экранные и печатные формы, единая бизнес-логика, единые справочники, единые механизмы взаимодействия с бухгалтерскими программами, единые механизмы защиты информации.
Интернет-банкинг и PC-банкинг позволяют клиенту работать в едином пространстве документов. Платежное поручение может быть создано в интернет-банкинге, отредактировано и подписано первой ЭЦП в PC-банкинге и доподписано второй ЭЦП снова в интернет-банкинге.
Интернет-банкинг и PC-банкинг поддерживают сложные индивидуальные схемы обслуживания крупных клиентов, холдингов, финансовых компаний. Они используются для организации доверительного управления и банковских коротношений.
Передача в банк платежных документов, загрузка выписок, использование справочников, загрузка обновлений клиентской компоненты PC-банкинга происходят через защищенное соединение по TCP/IP. Поддерживается управление DialupIP-соединением. Возможна работа клиента через банковский модемный пул и Интернет.
Клиентская компонента PC-банкинга реализована в виде Java-приложения, устанавливаемого на компьютере пользователя. Клиентский дистрибутив PC-банкинга имеет размер 1 Мб и един для всех клиентов. Нет необходимости генерировать и вести учет выданных клиентам уникальных дистрибутивов: при первой же синхронизации с банком все настройки клиента загрузятся с банковского сервера.
В случае сбоя компьютера, при переустановке ОС или при работе на новом компьютере пользователю достаточно заново установить клиентскую компоненту PC-банкинга и провести синхронизацию с банком. В результате из банка будут загружены все текущие настройки клиента, все ранее отправленные в банк документы с текущими статусами, будут загружены выписки, справочники получателей и бенефициаров, все обновления системы. Период синхронизации документов и выписок задает сам клиент.
Клиентская компонента PC-банкинга является мультиклиентной: в рамках одной программы поддерживается работа нескольких организаций со своими реквизитами, документами, выписками и справочниками. Каждая организация работает в своей «плоскости» программы и не пересекается с другими.
Phone-банкинг
Phone-банкинг выполняет весь набор банковских услуг, рассмотренный ранее. Доступ к банковским счетам и картам осуществляется с телефона, работающего в тоновом режиме. Для проведения операции клиент устанавливает с помощью телефона соединение с системой (сервером банка) и передает сообщение о проведении операции с помощью клавиш телефонного аппарата. В зависимости от характера операции она совершается либо сразу (например, безналичная конвертация валюты), либо в течение нескольких минут (пополнение счета с карточки), либо в течение дня (платежи через корсчет банка).
WAP-банкинг
WAP-банкинг обеспечивает клиенту выполнение операций по управлению счетами и картами с мобильного телефона через WAP-канал. Используя мобильный телефон, поддерживающий протокол WAP, клиент получает следующие банковские услуги:
Имея при себе подобный терминал, клиент действительно может получать банковские услуги круглосуточно, ежедневно из любой точки мира. В этом состоит существенное отличие WAP-банкинга, например, от традиционного доступа в Интернет, требующего наличия персонального компьютера (хотя бы ноутбука) и постоянного соединения с провайдером.
Общая информация о банке представлена в виде набора статических WML-страниц.
WML-страницы с курсами валют, выписками, платежами динамически формируются серверным модулем «WAP-банкинг», реализованным на Java, и исполняются сервером приложения.
Взаимодействие мобильного телефона с WAP-сервером банка происходит через WAP-шлюз, как правило, размещенный у сотового оператора. Возможна установка WAP-шлюза в банке.
SMS-банкинг
Современные мобильные телефоны помимо своей главной функции, голосовой связи, выполняют многие дополнительные и не менее важные функции, одной из которых являются SMS-сообщения.
SMS-банкинг, реализующий банковские услуги с помощью SMS-сообщений, доступен везде, где есть сотовая связь.
Услуги SMS-банкинга выгодны по цене как банку, так и клиенту.
Поддержка SMS-сообщений имеется во всех мобильных телефонах, поэтому SMS-банкинг доступен всем.
SMS-банкинг для физических лиц предоставляет три вида услуг:
Для отправки SMS-сообщений на банковской стороне могут использоваться GSM-модемы, шлюзы сотовых операторов.
Управлять услугами SMS-банкинга клиент может через интернет-банкинг, PC-банкинг, WAP-банкинг.
Mobile-банкинг
Mobile-банкинг обеспечивает реализацию тех же банковских услуг клиентам, что и, например, интернет-банкинг, с использованием КПК или смартфона. Возможность соединения КПК с мобильным телефоном позволяет реализовать концепцию «Банк в кармане». КПК и мобильный телефон с доступом в Интернет, новое поколение смартфонов позволяют обеспечить реальный круглосуточный полнофункциональный доступ клиентов ко всем услугам электронного банкинга.
Mobile-банкинг содержит справочники корреспондентов и бенефициаров, позволяя клиенту достаточно быстро и просто проводить рублевые и валютные переводы. Есть возможность копирования существующих документов в новые.
Mobile-банкинг, как и интернет-банкинг, содержит механизмы отзыва документа, ранее отправленного в банк, структурированных платежей.
Банки, которые стремятся активно развивать нишу электронных услуг для физических и юридических лиц, должны ориентироваться не только на интернет-банкинг, но и на другие каналы обслуживания. Только комплексное, всеобъемлющее решение позволит банку реализовать свои конкурентные преимущества и предоставить своим клиентам самый полный спектр услуг электронного банкинга.
Безопасность систем удаленного банковского обслуживания
В электронном банкинге для обслуживания массовых частных клиентов возможно применение упрощенных механизмов аутентификации.
Другим упрощенным способом аутентификации является одноразовый пароль. Одноразовый пароль может быть использован для аутентификации только одного действия клиента (входа в систему, отправки документа в банк). Это позволяет использовать одноразовый пароль в любой среде, так как злоумышленник может получить доступ только к уже использованному одноразовому паролю.
Более перспективна генерация одноразовых паролей с помощью автономного программно-аппаратного устройства, которая осуществляется в мобильном телефоне с установленными Java-мидлетами и в ОТР-токенах (One Time Password).
Кроме того, Java-мидлеты и ряд моделей ОТР-токенов позволяют решать задачу обеспечения аутентичности распоряжений пользователя путем формирования аналога собственноручной подписи (АСП). На практике в качестве алгоритма для АСП используется криптографическая функция от секретного ключа и вводимых клиентом параметров распоряжения: уникальный номер документа, сумма, код валюты, номер счета/карты для списания и др.
Принцип действия устройств ОТР-токенов основан на генерации одноразовых паролей с применением симметричного криптографического алгоритма для кодирования уникальной информации, содержащейся в токене, в сочетании с датчиком реального времени, который также входит в состав оборудования токена. Результат шифрования отображается на дисплее токена и вводится вручную в систему аутентификации.
Ряд моделей ОТР-токенов в дополнение к функции генерации одноразовых паролей поддерживают функцию формирования АСП. Для ввода параметров документа, используемых при формировании АСП, данные модели токенов оснащены клавиатурой.
Некоторые токены предназначены для работы с микропроцессорными картами стандарта EMV и являются компактными автономными картридерами с PIN-клавиатурой. Генерация одноразовых паролей и формирование АСП осуществляются микропроцессором EMV-карты, который стандартно обеспечивает поддержку криптографических алгоритмов, функций хранения персональных данных и секретных ключей. Сам токен выступает в роли внешнего интерфейса для доступа к соответствующим функциям EMV-карт и никакой персонифицированной информации не хранит. Это значительно облегчает процедуру дистрибуции токенов клиентам.
Оборудование ОТР-токенов исключает возможность какого-либо изменения функциональности устройств конечными пользователями и имеет встроенные механизмы защиты от любых попыток получения доступа к системе генерации паролей.
Интернет-банкинг и PC-банкинг обеспечивают гарантированный уровень безопасности, содержат механизм ЭЦП под финансовыми документами. Все данные шифруются с использованием российских криптоалгоритмов, осуществляется контроль целостности передаваемых данных. Поддерживается работа произвольного количества сотрудников и ключей ЭЦП.
В интернет-банкинге и PC-банкинге предусмотрено гибкое управление правами клиентов и их сотрудников. Для каждого клиента по каждому типу документа настраивается необходимое количество ЭЦП.
Кроме того, возможно выполнение функции по управлению лимитами на сумму подписываемого документа для каждой ЭЦП. Имеется также возможность по каждому клиенту для каждого типа документа управлять количеством ЭЦП в зависимости от суммы списания.
Защита информации в SMS-банкинге осуществляется стандартными для мобильной связи средствами. Для аутентификации клиента используются номер мобильного телефона, логин и пароль.
Для проведения активных операций в SMS-банкинге в качестве аналога собственноручной подписи могут использоваться индивидуальные таблицы одноразовых паролей.
Защита информации в WAP-банкинге осуществляется стандартными средствами. На участке от WAP-браузера мобильного телефона до WAP-шлюза для шифрования и обеспечения целостности информации, а также для аутентификации WAP-шлюза используется протокол WTLS.
На участке от WAP-шлюза до WAP-сервера для защиты информации используется стандартный протокол SSL. Для WAP-сервера банка WAP-шлюз выступает обычным http-клиентом, работающим через SSL.
Для аутентификации клиента в WAP-банкинге используются логин и пароль, настраиваемый через интернет-банкинг. При проведении активных операций в WAP-банкинге в качестве аналога собственноручной подписи, как и в SMS-банкинге, могут использоваться индивидуальные таблицы одноразовых паролей.
Mobile-банкинг для частных клиентов содержит полноценный механизм ЭЦП под всеми распоряжениями и электронными документами клиентов. Используются механизмы шифрования и контроля целостности передаваемых данных. Присутствует механизм криптографической аутентификации сторон.
Mobile-банкинг работает в едином пространстве документов с другими видами электронного банкинга и использует те же ключи ЭЦП клиентов.
Мирошников Д. Тезисы выступления на XIII Международном форуме разработчиков интегрированных банковских систем, 2007 г.