22 августа, вторник 04:45
Bankir.Ru

Объявление

Свернуть

Технические работы на почтовом сервере

С 23.00 21 августа до 7.00 22 августа на почтовом сервере будут проводиться технические работы. Почтовый сервис в это время будет не доступен.
Показать больше
Показать меньше

Насколько безопасна система CitiDirect

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Насколько безопасна система CitiDirect

    Уважаемые банкиры!

    Одна компания, судьба которой мне не безразлична, намерена воспользоваться услугами системы CitiDirect для управления счетами, открытыми в Ситибанке, через сеть Интернет при помощи обычного браузера. Изучение представленной технической документации на систему, а также данные об огромном количестве пользователей ее услуг не убедили меня в безопасности ее использования. В связи с этим возникает ряд вопросов:

    1) На сколько безопасным является использование этой и подобных систем?
    2) Известны ли факты связанные с компроментацией этой системы? (Мне подобных фактов обнаружить не удалось, хотя переодически приходится читать сообщения о мошейничестве в системах PayPal, WebMoney и т.п.)

    Буду благодарен за любые факты , относящиеся к этой системе или подобным ей, а также любые соображения по этому поводу.

  • #2
    PaulX
    Дайте ссылочку на описание, посмотрим...
    Earl Vlad Drakula. ///

    Комментарий


    • #3
      http://www.citidirect.com/

      Комментарий


      • #4
        PaulX, ((Мне подобных фактов обнаружить не удалось, хотя переодически приходится читать сообщения о мошейничестве в системах PayPal, WebMoney и т.п.))

        и что?, я тебе сейчас сходу назову миллион платежек, которые только и делают, что живут на фродовых транзакциях.

        Хоть ПП и пытается вводить новые системы авторизации, но на мой взгляд это все игры в "кошки-мышки" )) как опускали их, так и будут

        а что касается CitiDirect, наслышан, наслышан. Вплане безопасности я думаю система не страдает нехваткой "дырок"

        Комментарий


        • #5
          Система CitiDirect используется десятками тысяч организаций по всему миру. То что в любой системе могут существовать ошибки, приводящие к возникновению дыр в защите - это все знают. Если помножить на человеческий фактор, то риски использования этой системы могут быть значительными, но риски присутствуют всегда и при использовании любой системы. Вопрос в том, как их оценить, хотябы в сравнении с традиционными способами осуществления платежей или с системами "Банк-Клиент", не использующими Интернет клиентов.

          Насколько я понял, в системе CitiDirect не используется механизм электронной подписи платежных поручений. Вместо этого Ситибанк предоставляет своим клиентам доступ к АБС (точнее к интерфейсу управления их считами). Как в этом случае разрешаются споры относительно авторства платежа - мне не очень понятно.

          Комментарий


          • #6
            PaulX
            Насколько я понял, в системе CitiDirect не используется механизм электронной подписи платежных поручений. Вместо этого Ситибанк предоставляет своим клиентам доступ к АБС (точнее к интерфейсу управления их считами). Как в этом случае разрешаются споры относительно авторства платежа - мне не очень понятно.
            Вот это ключевой момент. Ибо пин-код или пароль называть полноценным аналогом собственноручной подписи как-то неправильно
            Earl Vlad Drakula. ///

            Комментарий


            • #7
              В догонку. Посмотрел ихнюю презенташку, и из нее понял, что аутентификация у них может выполняться при помощи OTP (one time passwords), а это гораздо безопаснее, чем постоянный пароль. В принципе, архитектура системы достаточно защищенная, если только не нашлепали дыр в реализации...
              Earl Vlad Drakula. ///

              Комментарий


              • #8
                С аутентификацией у них все впорядке. Однако в случае взлома их Web-сервера она не понадобится.

                Не берусь судить об архитектуре системы, т.к. глубоко ее не изучал. Уж наверняка она должна быть достаточно защищенной. Дыры в реализации наверняка есть и ни одна, думаю присутствуют также и ошибки администраторов.

                Мне кажется, что здесь нужно четко прописать в договоре с банком вопрос разрешения споров об авторстве платежа. Банк может об этом и не позаботится. Также надо предусмотреть непрерывный контроль изменения состояния счетов и механизмы отзыва и подтверждения платежей. Если эти моменты четко определены и зафиксированы в договоре или в дополнительном соглашении, тогда такую систему использовать можно.

                Комментарий


                • #9
                  PaulX
                  четко прописать в договоре с банком вопрос разрешения споров об авторстве платежа
                  Ключевой момент, о котором с самого начала и говорю. Это возможно только при использовании ЭЦП. Все пароли, пин-коды и прочая оспариваемы и банк здесь в проигрышном положении. Можно 10 раз написать в договоре, что авторство подтверждается ПИН-кодом. А в суде мудрый адвока задаст вопрос: а чем вы докажете, что данный ПИН-код ввел именно мой клиент? таблицы кодов сгенерированы банком и известны ему со всеми вытекающими юридическими последствиями.
                  Но так работает почти весь мир; применительно к и-банку для "физиков" это приемлемо, потому как суммы копеечные и потенциальные потери покрываются экономией и удобством. Плюс, оставшиеся риски можно застраховать...
                  Earl Vlad Drakula. ///

                  Комментарий


                  • #10
                    Есть сомнения насчет того, что, в случае возникновения спора об авторстве платежа, именно банк оказывается в проигрышном положении. Тогда бы любой недобросовестный клиент мог поставить банк на деньги. Скорее всего именно клиенту придется доказывать что он не верблюд и непонятно как он это будет делать.

                    Комментарий

                    Пользователи, просматривающие эту тему

                    Свернуть

                    Присутствует 1. Участников: 0, гостей: 1.

                    Обработка...
                    X