Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

«НОМОС-Линк»: Интернет-банкинг на базе EMV-карт

(Нет голосов)

11.04.2008 Количество просмотров 1204 просмотра

В числе выступлений представителей банков-клиентов компании Compass Plus, вызвавших наибольший интерес участников ITUG 2008, следует выделить прозвучавший в ходе IV международной конференции пользователей программного обеспечения доклад, посвященный использованию новейших технологий в области обеспечения безопасности при реализации проектов Интернет-банкинга.

В ходе своего выступления Александр Базанов, директор департамента по разработке и сопровождению продуктов розничного бизнеса НОМОС-БАНКа, поделился опытом по развитию услуг Интернет-банкинга одного из ведущих российских банков. Являясь клиентом компании Compass Plus с 2001 г., НОМОС-БАНК сегодня акцентирует свои усилия на развитии розничной инфраструктуры обслуживания, включая сеть банкоматов и инфокиосков, и расширении каналов дистанционного предоставления услуг, среди которых особая роль отводится Интернет-банкингу.


В рамках доклада участники конференции были ознакомлены с ключевыми особенностями инновационного проекта в области Интернет-банкинга, реализованного НОМОС-БАНКом совместно с компанией Compass Plus на базе EMV-карт Visa Int. и MasterCard Worldwide около года назад. Целью данной инициативы, получившей название «НОМОС-Линк», стало обеспечение безопасности операций, проводимых розничными клиентами с использованием дистанционного доступа к Интернет-порталу НОМОС-БАНКа.

Как известно, системы Интернет-банкинга, впервые появившиеся в 1998 г., в течение последнего десятка лет постоянно расширяли свой функционал. Изначально выступая в роли некого пассивного вспомогательного сервиса, позволяющего клиентам лишь просматривать информацию о состоянии своих счетов, включая баланс платежных карт, на сегодняшний день Интернет-банкинг предоставляет своим пользователям возможность дистанционного осуществления целого ряда активных операций, включая оплату товаров и услуг, перечисление денежных средств со счета на счет, Интернет-трейдинг и многое другое.

На этом фоне количество клиентов, которые пользуются услугами Интернетбанкинга, ежегодно возрастает (см. рис. 1). Так, согласно результатам недавнего исследования, которое было проведено по инициативе голландских банков, в настоящее время свою потребительскую лояльность по отношению к услугам Интернет-банкинга демонстрируют порядка 42% клиентов кредитно-финансовых учреждений Нидерландов. Аналогичная доля потребителей розничных банковских услуг пользуется стандартными каналами обслуживания в физических точках присутствия банка – банковских отделениях и дополнительных офисах. При этом 90% клиентов привыкли пользоваться иными системами дистанционного обслуживания, такими, например, как сети банкоматов и инфокиосков.

Анализируя современную ситуацию с розничным банковским обслуживанием в России, можно отметить, что на фоне значительно превосходящих европейские страны по своим масштабам территории и численности населения нашей страны, уровень проникновения банковских услуг в российские регионы сегодня по-прежнему достаточно низок. Таким образом, перед отечественными кредитно-финансовыми учреждениями стоит задача, связанная с охватом банковскими сервисами широких масс населения, включая расширение категорий обслуживаемых клиентов. И одним из наиболее эффективных инструментов здесь могут послужить системы Интернет-банка. Немаловажным преимуществом Интернет-банкинга является и себестоимость банковских операций, осуществляемых через данный канал обслуживания. Так, по оценкам европейских экспертов, базирующихся на данных европейских банков, себестоимость одной финансовой операции, совершаемой в традиционном филиале или отделении банка, превышает 1 евро, занимая первое место по величине данного показателя среди розничных каналов обслуживания. Данная сумма включает в себя затраты на содержание персонала, на помещение, на закупку и обслуживание оборудования и т. п.

Как ни парадоксально, но второе место по величине себестоимости банковской операции занимает телефонный банкинг, требующий высоких затрат для организации работы call-центра. За ним следует банкоматная сеть, где основными составляющими себестоимости транзакций являются затраты на приобретение, обслуживание и поддержку автоматизированных устройств самообслуживания. И, наконец, наиболее эффективным с точки зрения данного показателя является Интернет-банкинг – себестоимость одной операции составляет здесь всего 1евроцент, что в 100 раз ниже, чем при использовании традиционных каналов обслуживания клиента (см. рис. 2). Если рассматривать современные тенденции развития банковской розницы, то на фоне постоянного увеличения количества Интернет-пользователей можно констатировать, что сегодня все большее число банковских клиентов доверяет системам Интернет-банка, и в течение ближайших пяти лет данное направление станет полем для достаточно активной конкуренции между участниками ритейлового рынка. В то же время нельзя не отметить и существование объективных факторов, заметно сдерживающих дальнейшее развитие Интернет-банкинга. Так, многие потребители по-прежнему опасаются прибегать к услугам подобных систем дистанционного банковского обслуживания, базирующихся на публичных сетях, каковой является Интернет, считая их чрезмерно сложными в использовании либо недостаточно безопасными в плане возможного мошенничества.

Тому есть свои основания. По данным Антифишингового комитета, на долю фишинговых атак, направленных на участников сферы финансовых услуг, приходилось почти 90% от всех фишинговых атак, совершенных на мировом рынке в период с января 2006 г. по январь 2007 г. Это вполне объяснимо: преступники, занимающиеся мошенничеством, в первую очередь акцентируют свои усилия в тех областях, где они рассчитывают получить максимальную выгоду от подобных операций. И с точки зрения Интернет-мошенничества сфера финансовых услуг видится им наиболее перспективной, в первую очередь за счет значительно более высоких объемов транзакций. Характерно, что если рассматривать уровень такого рода преступлений в различных странах, то Россия стоит по этому показателю в одном ряду с такими развитыми государствами, как Германия, Япония, Франция и Великобритания. На этом фоне, приступая к реализации проекта «НОМОС-Линк», специалисты НОМОС-БАНКа стремились решить следующие первоочередные задачи: гарантированно обеспечить безопасность совершения операций в сети Интернет, предоставить клиенту простой, удобный и полностью прозрачный для него способ работы с банковским порталом в любой точке мира, где есть доступ в Интернет, а также оптимизировать затраты банка на обеспечение функционирования, поддержку и развитие системы дистанционного банковского обслуживания. В качестве основного стандарта, используемого в данном проекте, была выбрана EMVкарта международных платежных систем, поскольку на момент разработки проекта НОМОС-БАНК уже стоял на пороге миграции с эмитируемых им магнитных карт Visa Int. и MasterCard Worldwide на чиповые карты этих платежных систем. Следует отметить, что EMV-карты международных платежных систем Visa Int. и MasterCard Worldwide представляются сегодня одним из наиболее эффективных инструментов обеспечения безопасности CNP-транзакций, к которым, как известно, относятся и операции, осуществляемые с помощью систем Интернет-банка. Так, в качестве одного из расширений спецификации EMV можно рассматривать появление технологии генерации одноразовых аутентификационных паролей OTP (One-Time Password). На ее базе международными платежными системами были разработаны собственные программы Chip Authentication Program (CAP, MasterCard) и Dinamic PassCode Authentication (DPA, Visa), позволяющие держателям EMV-карт получать с их помощью одноразовые пароли для аутентификации при выполнении CNP-транзакций. Именно поэтому в качестве основного универсального инструмента аутентификации клиента в системе Интернет-банка НОМОС-БАНКа была выбрана EMV-карта. Как уже отмечалось, основным элементом внедренной НОМОС-БАНКом схемы аутентификации в рамках системы Интернет-банка является чиповая карта, на которой расположены все ключевые элементы секретности: карта содержит ключи, с помощью карты происходит проверка ПИН-кода и формируется одноразовый пароль (см. рис. 3). В рамках проекта «НОМОС-Линк» поставщиком карт и чиповых технологий выступила компания Gemalto, которая также оказывала специалистам банка ряд консультационных услуг, включая информацию о своих последних разработках в области решений CAP/DPA на базе своих карт стандарта EMV. Другим инструментом аутентификации выступает персональный ридер микропроцессорных карт (в проекте «НОМОСЛинк» поставщиком ридеров выступила компания VASCO). Установив в данное устройство EMV-карту и набрав на его клавиатуре ПИН-код, пользователь получает на дисплее картридера уникальную цифровую последовательность, которую вместе с номером карты необходимо ввести в специальное web-окно на сайте «Интернет-банка» для совершения операции. Себестоимость такого устройства составляет 15 долл. США. Следует подчеркнуть, что клиентам НОМОС-БАНКа совершенно необязательно приобретать ридер непосредственно в банке – они могут воспользоваться для этого предложениями того или иного стороннего поставщика. Клиенты могут также использовать картридеры различных фирм-производителей, приобретенные в других банках или другим лицом: уникальность операции обеспечивается исключительно платежной картой. В то же время, поскольку именно НОМОС-БАНК первым в регионе CEMEA (и одним из первых в мире) предложил пользователям данный сервис, обеспечение клиентов персональными ридерами ему пришлось взять на себя. При этом продажа данных устройств, разумеется, не является коммерческой составляющей проекта – основной доход от его реализации банк получает с операций, проводимых в рамках своей системы Интернет-банка. Реализуя свой проект, специалисты банка старались опираться исключительно на стандартную спецификацию CAP/DPA для того, чтобы обеспечить совместимость чиповых карт клиентов с персональными ридерами различных производителей. При этом разработчики, участвующие в данном проекте, провели серьезную работу по кастомизации ридеров путем русификации интерфейса и тщательной проработки логики диалога устройства с клиентом, сделав его аналогичной логике Интернет-портала банка. Процедура проведения финансовой операции в системе «НОМОС-Линк» осуществляется следующим образом. Для входа в систему клиент набирает в специальном web-окне банковского портала номер своей платежной карты и полученный с помощью персонального ридера одноразовый пароль (см. рис. 4). Пароль проверяется, после чего клиенту предоставляется подробная анимированная виртуальная инструкция с изображением картридера и описанием дальнейших необходимых действий с данным устройством для проведения операции (см. рис. 5). После того как пользователь был успешно аутентифицирован в системе, он может начинать выполнять финансовые операции. Для этого он набирает основные реквизиты проводимой операции, после чего система предоставляет ему контрольный код, сформированный на основе введенных реквизитов, этот контрольный код клиент вводит с помощью клавиатуры картридера. В ответ на введенный контрольный код карта формирует уникальную цифровую последовательность (ее значение демонстрируется на экране картридера), которая неразрывно связана с конкретной транзакцией. Клиент набирает в специальном web-окне банковского портала данную цифровую последовательность, которая вместе с реквизитами операции передается на банковский хост. Хост, в свою очередь, проверяет сформированный картой клиента код, после чего, если он верен, осуществляет финансовую операцию.

Технология, применяемая банком в своей системе удаленного обслуживания, позволяет убедиться в подлинности платежной карты, используемой клиентом при выполнении операции через Интернет, в полномочиях пользователя, являющегося ее держателем, а также сгенерировать одноразовый пароль для осуществления каждой конкретной транзакции, проводимой в системе «НОМОСЛинк», который не может быть использован повторно. Благодаря этому пароль является уникальным как для каждой карты, так и для каждой конкретной операции. Соответственно, гипотетически возможный перехват значения такого пароля в любом случае не приведет к каким-либо финансовым потерям со стороны клиента. В процессе генерации одноразового пароля используется ключ, размещенный на EMV-карте. При проведении транзакции клиент вводит ПИН-код, который применяется для аутентификации личности держателя карты. Если ПИН-код был введен неверно N-е количество раз подряд (данные о максимально возможном количестве таких попыток записаны на карте), то карта блокируется. В процессе формирования одноразового пароля используется транзакционный счетчик, который обеспечивает уникальность данной цифровой последовательности для каждой операции. Кроме того, как уже отмечалось, выполняя финансовую операцию в системе Интернет-банка, клиент вводит дополнительные данные, характеризующие эту операцию, чем обеспечивается оригинальность генерируемого одноразового пароля для каждой конкретной операции. По мнению специалистов НОМОСБАНКа, система «НОМОС-Линк» является наиболее закрытой от мошеннических атак из всех существующих на сегодняшний день систем дистанционного предоставления финансовых услуг. Несмотря на то что аутентификация клиента в случае проведения им активных операций в системе Интернет-банка осуществляется с помощью чиповой карты, если пользователю необходимо просто ознакомиться с информацией по своему счету, он может использовать только логин и пароль в целях упрощения процедуры аутентификации. Реализация проекта «НОМОС-Линк» на базе карт стандарта EMV позволила избежать существенных дополнительных затрат, связанных с дистрибуцией и администрированием ключевых аутентификационных элементов системы. Любая платежная карта, эмитируемая сегодня НОМОС-БАНКом, изначально способна работать с персональным картридером в системе Интернет-банка. Подключение к данному сервису осуществляется бесплатно, клиенту лишь необходимо приобрести картридер.

Следует отметить, что изначально все сервисы, доступные сегодня розничным клиентам НОМОС-БАНКа в рамках «НОМОС-Линк», в той или иной степени разрабатывались с привязкой к платежным картам, будь то депозиты или предоставление кредитных линий. Благодаря такому подходу к настоящему времени к системе Интернет-банкинга потенциально имеют доступ все 200 тыс. держателей чиповых карт Visa и MasterCard НОМОСБАНКа. При этом порядка 10% из них являются активными пользователями данной системы, причем примерно четверть из них совершает через систему Интернет-банка активные операции с использованием картридеров. И эти показатели продолжают динамично расти!

Текст статьи читайте в журнале  "ПЛАС" 3 (133) ’2008 сс. 14


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… первая в мире массовая коммерческая эмиссия чиповых карт состоялась в США в 1986 г. (банками-эмитентами выступали Bank of Virginia и Maryland National Bank с чипами Bull CP8, а также First National Palm Beach Bank и Mall Bank – с чипами Casio)?