Bankir.Ru
27 мая, суббота 03:41

Объявление

Свернуть

На Bankir.ru начался цикл публикаций, созданных по следам обсуждений на форуме

Показать больше
Показать меньше

Расчеты через Интернет (Гута банк)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Расчеты через Интернет (Гута банк)

    Гута-банк объявил о намерении предоставлять частным клиентам других коммерческих банков право пользоваться своей системой ╚Телебанк╩, которая позволяет дистанционно управлять банковским счетом по телефону или через сеть Интернет. Пока в России подобные услуги в полной мере предоставляют только Гута-банк и Автобанк, а общее число клиентов не превышает 2000 - 3000 человек. Потенциал этого рынка огромен: по оценке компании Internet Marketing, банковскими услугами через Интернет в США в 1998 г. уже пользовались около 4,5 млн человек.
    Подробности - A HREF="http://www.km.ru/magazin/view.asp?id=%7B08178481%2DC8B7%2D11D3%2D9724%2D000000000000%7D&idrubr=%7B9E71DA92%2D9C00%2D11D3%2D9719%2D000000000000%7D"" TARGET=_blank>http://www.km.ru/magazin/view.asp?id=%7B08178481%2DC8B7%2D11D3%2D9724%2D000000000000%7D&idrubr=%7B9E71DA92%2D9C00%2D11D3%2D9719%2D000000000000%7D"/A>

  • #2
    Возможно, потенциал и огромен...Но как скоро будет освоено это "нераспаханное поле", не известно. Может быть, в Москве и других крупных городах быстрее в силу большей гибкости и погрессивности мышления, а вот в провинции...Проведенное соц. исследование показало, что все респонденты относятся к расчетам через Интернет с недоверием, 30% ничего об этом не слышали, 50) отказались бы работать с Интернет-банками (опрос порводился среди бухгалтеров и гл. бухгалтеров.
    С косностью мышления надо прежде всего бороться, а это вопрос длительного времени и значительных затрат на рекламные акции.

    Комментарий


    • #3
      По-моему не стоит выделять Интернет-банки в отдельную, совершенно отличную от обычных банков, категорию. Прогнозировать, конечно, сложно, но интернет-расчеты (банки) будут создаваться именно на базе обычных российских банков, на материально-технической основе их расчетных отделов. Этому есть две причины: во-первых, проведение платежей - суть бизнеса банков и они не при каких условиях не отдадут свой бизнес постороннему, во-вторых, на их стороне понимание вопроса, опыт работы и, наконец, финансовые ресурсы.
      Вспомните, структуру расчетов 2 или 3 года назад в разрезе почтовых, телеграфных и электронных платежей? Ведь, в конце концов, электронные вытеснили другие виды и, что самое главное, клиенты все активнее пользуются системой банк-клиент. Осталось ее "заточить" под сеть.
      По поводу косности┘ Нужно создать условия для постоянного использования предлагаемыми услугами. Реклама √ как составляющий элемент этих условий.

      Комментарий


      • #4
        Здравствуйте! Извините за вопрос, но отчего все-таки услуги Интернет-банкинга вы (как, впрочем, и многие крупные банки) предлагаете только физическим лицам? Еще вопрос из этой же серии - что за странная реклама типа "Вы можете заплатить своему провайдеру". Что, для перевода денег провайдеру форма платежки другая, чем при оплате ящика шампанского? Или все просто - не реализована ЭЦП клиента и юр.лица через Интернет могут отправлять только внутрибанковские платежи?

        Комментарий


        • #5
          Вы не правы. Национальный Коммерческий Банк начал предлагать услуги Интернет-банкинга юр. лицам. Подробности Вы можете посмотреть по адресу http://www.ncbank.ru
          Система iBank (расчеты через Интернет) данного банка на мой взгляд гораздо удобнее чем у Гита-банка. На счет провайде могу ответить: накакой разницы в платежке нет, просто для некоторых видов платежей в системе изначально введены шаблоны и забитыми в них реквизитами и все. С уважением Александр.

          Комментарий


          • #6
            Уважаемый Александр! Посмотрел указанный Вами сайт - понравилось. Если интересно-посмотрите на наш:http://www.abr.ru . Дизайн прошу сильно не критиковать - делали программисты, а не дизайнеры. Вопрос-то был в другом - что может сказать на это (только физики, только определенные платежи)общественное мнение? Может я чего-то не понимаю? Мы в интернет-версии оставили только просмотр остатков, выписок и рублевые платежи только из-за статистики (более 90% запросов клиентов по "традиционной" системе). С уважением
            Андрей

            Комментарий


            • #7
              Из информации на сайте непонятно: в Интернет версии у клиента ставится программное обеспечение или нет? То что нет выписки за период тоже очень неудобно. И наконец Интернет версия мне показалась очень обрезанной. Многим клиентам необходимы валютные документы и при этом эти клиенты мобильны и Интернет технология для них - лучший вариант. С уважением Александр.

              Комментарий


              • #8
                Здравствуйте, Александр! Относительно замечаний по www.abr.ru могу сказать следующее:
                ставится ли что-то клиенту - описано в левом фрейме "подключение...";
                насчет выписки за период-она есть, только не в одном запросе, просто надо послать несколько;
                насчет "обрезанности" - по многолетнему опыту эксплуатации не-интернет системы более 90 проц запросов - это остатки на счетах,выписки и рублевые платежки; если нужна работа с валютой-можно пользоваться не-интернет версией. Зачем всем ставить достаточно тяжелое приложение (Runtime MS Access), если во многих случаях клиента устроит более легкое.Насчет мобильности для рублевых платежек - есть такие, но не очень много; насчет мобильности клиентов для валютных заявок - пока не встречал клиентов,которые возят с собой еще и документы по валютному контролю.
                мы делали и-версию именно на основе имеющейся статистики и преследовали следующие цели:
                сравнить отношение клиентов к тому и другому варианту на своем опыте, а не на основе умозрительных заключений теоретиков;практики же пока молчат или говорят очень тихо;
                снизить расходы на поддержку - сейчас у клиентов идет обновление железа и виндов, и не все они справляются сами с переустановкой-просто в небольших фирмах это делать некому.А и-версию каждый может поставить и переставить сам.
                С уважением
                Андрей


                [Сообщение отредактировал AGL (исправлено 14-04-2000).]

                Комментарий


                • #9
                  Здравствуйте! Пожалуйста, подскажите, где мне найти информацию по истории и зарождению Интернет-банкинга. Пишу дипломную по И-Б. Нужно срочно. Заранее благодарю.
                  Мой e-mail: anelia2k@mail.ru

                  Комментарий


                  • #10
                    Здесь Вы, надеюсь, смотрели - http://www.bankir.ru/st/inet_banking_1.html

                    А также:
                    - http://www.expert.ru/algoritm/99/99-43-06/banking.htm
                    - http://www.internetfinance.ru/banking/
                    - http://www.homebanking.ru/banks_homebanking.htm
                    - http://www.computerra.ru:8082/1998/7/8.html

                    [Сообщение отредактировал Michael (исправлено 22-04-2000).]

                    Комментарий


                    • #11
                      По истории не знаю, а по нормативной базе - в рубрике ЗАКОНЫ на www.SiteSale.Ru

                      ------------------
                      Андрей Иванов
                      Ст. консультант
                      www.SiteSale.Ru

                      Комментарий


                      • #12
                        Раз пошли такие "разборы полетов", то может быть Вы рассмотрите еще один пример - Bank for International Settlements Corp. http://www.bis-corp.com/

                        Соответствует ли он стандартам?

                        Спасибо.

                        Комментарий


                        • #13
                          Отправил AGL 04-05-2000 11:19 AM
                          Если интересно-посмотрите на наш:http://www.abr.ru . Мы в интернет-версии оставили только просмотр остатков, выписок и рублевые платежи только из-за статистики (более 90% запросов клиентов по "традиционной" системе).
                          Замечания.

                          1. Если банк предоставляет услуги Интернет-Банкинга, то не такие уж и большие затраты (125$ в год) на получение Сертификата для Web-сервера у того же Thawte Consulting сс. Используемая Вами схема с передачей на дискете самодельного (выданного самому себе) Сертификата для Вашего www.abr.ru, с точки зрения секьюрити вполне допустима. Но всё-таки работать с "нормальным" сертификатом - существенно удобнее, нет гимороя с дискетой. Хотя, если Вы передаете на дискете еще и дополнительный софт - тогда можно с софтом передавайть и файлик JSBR Certification Agency.cer.

                          2. Подпись разработчика под CAB-архивом (serf.cab), загужаемым в Web-браузер клиента, должна быть "нормальной". А то подписано каким-то неизвествным разработчиком :-( Поэтому лучше получить Сертификат разработчика в Thawte (200$ в год).

                          3. Самой главный, ключевой недостаток - установка у клиента специализированного софта. Это уже не Интернет-Банкинг, это обычный Банк-Клиент через Интернет. Идти на компромисс в вопросе "тонкого клиента" и устанавливать на стороне клиента спец. ПО или какой-то Plugin, затачиваться только под Wintel платформу и MS IE 5 - это значит ставить крест на ГЛАВНОМ достоинстве Интентет-Банкинга. В этом главная ошибка многих разработчиков. Но понимание приходит позже, когда сделаны серьезные инвестиции, когда с системой уже работет с полтысячи клиентов :-(

                          4. Что касается валютных документов. Да, действительно, во многих российских банках 80..90% документооборота составляют рублевые документы. Но, в нашем случае (БИФИТ является разработчиком системы "iBank", которая стоит в том числе и в Национальном Коммерческом Банке - www.ncbank.ru) приходится делать максимально возможный функционал. Среди наших Заказчиков есть банки, с документооборотом по рублям и валюте 50-50, поэтому в нашей системе есть и рублевые документы, и валютные ;-)
                          А скоро появится и Интернет-Трейдинг.

                          Резюме. Чтобы система была Интернет-Банкингом, а не "толстым" Банк-Клиентом через Интернет, необходимо либо делать как у ИНИСТа (подпись реализована в виде ActiveX элементов - фактически набора dll-ек, втихаря загружаемых в MS IE 5 и устанавливаемых у клиента), либо, если хватает квалификации и опыта, попробовать сделать всё на Java (и ЭЦП, и шифрование и интерефйс пользователя, и Сервер Приложения).

                          На самом же деле лучше не изобретать велосипед, не тратить время (потеря темпа) и деньги на исследования и самоделки, а покупать готовое промышленное решение, реально и успешно работающее уже не в одном десятке банков. Тем более, когда приведенная цена системы на одного клиента измеряется 30$ и меньше (уже с учетом НДС) .

                          С уважением, Репан Димитрий
                          Компания "БИФИТ"
                          С уважением, Репан Димитрий
                          Компания "БИФИТ" - www.bifit.com

                          Комментарий


                          • #14
                            Здравствуйте, Дмитрий! Позволю себе краткие комментарии...
                            1. и 2. Насчет сертификата Thawte или любого другого признанного в мировом масштабе authority - в принципе согласен, но мы решили подождать выхода Закона об ЭЦП. Тем более, что по смыслу и по технике наш сертификат для наших клиентов ничего не ухудшает.Кстати, на ncbank.ru я тоже видел сертификаты банка и разработчика - и что?

                            >3. Самой главный, ключевой недостаток - >установка у клиента специализированного >софта. Это уже не Интернет-Банкинг, это >обычный Банк-Клиент через Интернет. Идти на >компромисс в вопросе "тонкого клиента" и >устанавливать на стороне клиента спец. ПО >или какой-то Plugin, затачиваться только >под Wintel платформу и MS IE 5 - это значит >ставить крест на ГЛАВНОМ достоинстве >Интентет-Банкинга. В этом главная ошибка >многих разработчиков. Но понимание приходит >позже, когда сделаны серьезные инвестиции, >когда с системой уже работет с полтысячи >клиентов :-(
                            В этом позволю себе не согласиться. Не хочется в этом месте начинать спор на тему Java-неJava, Масдай-неМасдай - не место для этого. Могу лишь опираться на статистику клиентских платформ и браузеров по нашему общедоступному сайту - платформа Wintel и разные версии IE лидируют с очень большим отрывом. Ориентировать систему на принципиальных любителей Opera или чего-то подобного мы не будем. Тем более, что IE пока бесплатен. В общем, по нашему мнению, всеядность по отношению к браузерам не является ГЛАВНЫМ достоинством системы - по крайней мере, пока есть выбор среди доступных и бесплатных браузеров.
                            Не совсем понял, кому и почему может не понравиться plug-in размером около 1.6 Мб? Это что - экзотическая операция или есть принципиальная задача хранить браузер в первозданной чистоте? Что - никто из вас и ваших клиентов ничего ниоткуда никогда не скачивал и не ставил?
                            >4. Что касается валютных документов.
                            [skipped]
                            > скоро появится и Интернет-Трейдинг.
                            Насчет валютных документов - пока не планируем, интернет-трейдинг - будет.

                            >Резюме. Чтобы система была Интернет->Банкингом, а не "толстым" Банк-Клиентом >через Интернет, необходимо либо делать как >у ИНИСТа (подпись реализована в виде >ActiveX элементов - фактически набора dll->ек, втихаря загружаемых в MS IE 5 и

                            Ну сами же себе противоречите; какая разница по сути - втихаря (как у Иниста, который вы ставите в пример) или не втихаря (как у нас-фактически такие же dll-ки). Мне кажется, что не втихаря- лучше.
                            Мне лично не нравится, когда что-то грузится втихаря.
                            >устанавливаемых у клиента), либо, если
                            >хватает квалификации и опыта, попробовать >сделать всё на Java (и ЭЦП, и шифрование и >интерефйс пользователя, и Сервер >Приложения).
                            Квалификации и опыта хватает, однако принципиальной разницы в РЕЗУЛЬТАТЕ не видим.

                            >На самом же деле лучше не изобретать >велосипед, не тратить время (потеря темпа) >и деньги на исследования и самоделки, а >покупать готовое промышленное решение, >реально и успешно работающее уже не в одном >десятке банков. Тем более, когда >приведенная цена системы на одного клиента >измеряется 30$ и меньше (уже с учетом НДС) .
                            При отстутствии у нас хороших разработчиков мы бы так и сделали. Спор на эту тему бесперспективен, ибо оба подхода имеют право на жизнь. Я работал с двумя системами самостоятельной разработки и с двумя готовыми, поэтому предмет мне известен. Либо ты привязываешься к одному разработчику ВО ВСЕМ (а это уже не 30 USD, да?), либо теряешь в гибкости и в том, что называется "заточкой" системы. Вы поставляете продукт, который можно встроить куда-то и он будет работать - в этом я не сомневаюсь. Будет ли он работать настолько же эффективно - не уверен. Вы же не будете утверждать, что универсальный инструмент всегда лучше специализированного.
                            С уважением
                            Андрей Лебедев
                            ОАО "АБ "Россия"

                            Комментарий


                            • #15
                              Отправил AGL 08-29-2000 10:47 AM
                              1. и 2. Насчет сертификата Thawte или любого другого признанного в мировом масштабе authority - в принципе согласен, но мы решили подождать выхода Закона об ЭЦП.
                              Закон об ЭЦП, по крайней мере в текущей редакции, совершенно никак не влияет на выбор "получать родной сертификат или использовать самодельный". Просто в случае использования "самодельного" сертификата у конкурентов по банковскому бизнесу появляется еще один повод "бросить камень" в Вашу сторону, что совершенно не на пользу имиджа банка.

                              Не совсем понял, кому и почему может не понравиться plug-in размером около 1.6 Мб?
                              Потому что плагин или специализированное ПО надо ставить и настраивать на стороне клиента. А потом начинается соответствующий суппорт. Когда клиентов 20..100 - это не сильно актуально, и суппорт клиентов напрягает мало. А вот когда у Вас уже 500 клиентов, или даже 2000 - вот тогда "начинается песня". По статистике у клиента 1..2 раза в год что-то ломается (железо, ОС и пр.), апгрейдится компьютер, ставится заново системный софт. При использовании специального ПО в подаляющем количестве случаев требуется его переустановка и соответствующая настройка. А это, как правило, либо выезд специалиста банка в гости к клиенту, либо, как минимум, разговор по телефону на час. Посчитаем. В году ~250 раб. дней. В банке обслуживается 1000 клиентов. Соответственно в день 4..8 выездов/общений по телефону. И это в лучшем случае. Общаясь с сотрудниками из Первого О.В.К., Сбербанка и других крупных банков, уговаривать банки использовать только "тонких клиентов" не было необходимости вообще - у них уже был опыт сопровождения "толстого" Банк-Клиента на большом количестве клиентов.

                              Что - никто из вас и ваших клиентов ничего ниоткуда никогда не скачивал и не ставил?
                              У пользователя системы iBank ничего не надо устанавливать . Только Web-браузер. Зачем мужественно преодолевать трудности, если можно эти трудности вообще не создавать?!

                              Квалификации и опыта хватает, однако принципиальной разницы в РЕЗУЛЬТАТЕ не видим.
                              В Вашем случае, когда у клиентов ставится спец.ПО, с ростом количества клиентов проблемы с сопровождением будут, как и с обычным Банк-Клиентов, только расти. И нет разницы с точки зрения суппорта (издержек банка на сопровождение системы) между "обычным Б-К" и Вашим "Б-К через Интернет".

                              Также не надо забывать и об удобстве работы клиента. В случае использования iBank клиент может работать везде, где есть Web-браузер. В Вашем случае - только там, где уже стоит спец.ПО. Вот и "вся разница" для клиента.

                              С уважением, Репан Димитрий
                              Компания "БИФИТ"


                              [Сообщение отредактировал Димитрий (исправлено 29-08-2000).]

                              [Сообщение отредактировал Димитрий (исправлено 29-08-2000).]
                              С уважением, Репан Димитрий
                              Компания "БИФИТ" - www.bifit.com

                              Комментарий


                              • #16
                                Дмитрий! А как же в вашей разработке реализована защита канала связи? Чем?

                                Александр

                                Комментарий


                                • #17
                                  Отправил Alexander 08-29-2000 03:20 PM
                                  Дмитрий! А как же в вашей разработке реализована защита канала связи? Чем?
                                  Добрый день, Александр!

                                  В качестве "канала связи" используется Интернет ;-)
                                  Вопрос, очевидно, как раз и касается способа защиты передаваемых данных через Интернет. Здесь мы ничего нового не придумывали - шифрование (RSA 1024 бит в фазе соглавование сеансовых ключей и ГОСТ 28147-89 для шифрования трафика)и обеспечение целостности трафика (имитовставка, ГОСТ 28147-89), взаимная аутентификация и ЭЦП (ГОСТ Р34.10-94) клиента под финансовыми документами.
                                  В принципе, все подробно описано на www.bifit.com
                                  Если коллеги не против, то могу рассказать в Форуме.

                                  С уважением, Репан Димитрий
                                  Компания "БИФИТ"

                                  [Сообщение отредактировал Димитрий (исправлено 29-08-2000).]
                                  С уважением, Репан Димитрий
                                  Компания "БИФИТ" - www.bifit.com

                                  Комментарий


                                  • #18
                                    Здравствуйте, Димитрий! Честно говоря, не совсем понял предмет нашего обсуждения. У меня создалось впечатление, что Вы не совсем верно оцениваете ситуацию, иначе откуда такое внимание к системе, с которой Ваша никак не пересекается? Или Вы просто пытаетесь убедить всех, что Ваше решение лучше? Что, до сих пор кто-то верит в существование абсолютно верных решений на все случаи жизни? Мы не будем выяснять, чью разработчики круче или чьи решения перспективнее - у нас с Вами совершенно разные рынки и задачи.
                                    >В Вашем случае, когда у клиентов ставится >спец.ПО, с ростом количества клиентов >проблемы с сопровождением будут, как и с >обычным Банк-Клиентов, только расти. И нет >разницы с точки зрения суппорта (издержек >банка на сопровождение системы) >между "обычным Б-К" и Вашим "Б-К через >Интернет".
                                    Дмитрий, Вы что, являетесь пользователем нашей системы? Откуда Вы знаете, в чем заключается настройка и сопровождение? И есть ли они вообще? Почему Вы обсуждаете подробности работы с системой, о которой не имеете представления?
                                    >Также не надо забывать и об удобстве работы >клиента. В случае использования iBank
                                    >
                                    клиент может работать везде, где есть >Web-браузер. В Вашем случае - только там, >где уже стоит спец.ПО. Вот и "вся разница" >для клиента.
                                    Опять же, что Вы знаете об этом "спец.ПО"? Ориентируетесь только по названию на нашем же сайте? А к какому виду ПО ("спец" или "не спец") вы относите "файл с описанием русских шрифтов" для NN (см. www.ncbank.ru - это, кажется, Ваша система)?
                                    В общем, странный какой-то разговор получается. Вы пытаетесь оценить характеристики системы, которой не знаете. В чем Ваша цель? Если Вы не знаете подробностей о каком-то предмете, то может быть лучше спросить, а потом высказываться?
                                    С уважением, Андрей Лебедев
                                    ОАО "АБ "Россия" www.abr.ru


                                    [Сообщение отредактировал AGL (исправлено 30-08-2000).]

                                    [Сообщение отредактировал AGL (исправлено 30-08-2000).]

                                    Комментарий


                                    • #19
                                      >Здесь мы ничего нового не придумывали - шифрование (RSA 1024 бит в фазе соглавование сеансовых ключей и ГОСТ 28147-89 для шифрования трафика)и обеспечение целостности трафика (имитовставка, ГОСТ 28147-89), взаимная аутентификация и ЭЦП (ГОСТ Р34.10-94) клиента под финансовыми документами.

                                      Дмитрий, с этим ясно! Меня как раз интересовал вопрос по шифрованию трафика и обеспечению его целосности!!! Теперь немного вопросов:
                                      1. Что это за имитовставка, кем она написана и как банк может гарантировать клиентам то, что посланная информация не расшифруется?
                                      2. Форматы сертификатов открытых ключей соответствуют Рекомендациям ITU X.509?
                                      3. Может ли ваша система генерировать ключи администратора безопасности (Certificat Authority), формировать сертификаты открытых ключей на основе запросов пользователей?
                                      4. Кто (что) подписывает платежи клиентов? Как я понял ваша разработка не использует специализированный софт по:
                                      -аутентификации сервера банка на стороне клиента с помощью сертификата открытого ключа Web-сервера;
                                      -аутентификации клиентов на стороне банка с помощью сертификатов открытых ключей пользователей;
                                      -шифрованию трафика между клиентом и банком на базе криптографических алгоритмов;
                                      -формированию ЭЦП под электронными формами документов;
                                      -автоматической проверке ЭЦП.
                                      Если нет, то это ваше, самописное, основанное на ГОСТовских алгоритмах. Не проще было бы Вам использовать уже проверенное решение, например от Verisign или отечественного Сигнал-Ком? Или же вы пошли по пути удешевления решения?
                                      5. Утверждаете ли Вы, что ваш центр сертификации является последней инстанцией и ему клиенты могут доверять свои платежи? Соответственно, может ли банк гарантировать сохранность платежей?
                                      Если бы в вашем продукте в качестве центра сертификации был известный производитель криптозащиты, то банк мог бы ссылаться на него и имел бы гарантии, а в вашем случае все непонятно! В подобных системах защита играет ключевую роль при выборе системы, а не ее функционал, который не сильно трудно реализовать на Java и состыковать с банковской системой скажем через текстовые файлы! Просто я уже знаю несколько случаев, когда банки, не используя специализированного софта защиты, теряли ДЕНЬГИ (ПЛАТЕЖИ) КЛИЕНТОВ. Эти инциденты конечно же умалчиваются, дабы не "подмочить" банковскую репутацию. Вам известны такие факты с вашим продуктом?
                                      Если я в чем то не прав, поправьте меня пожалуйста и ответьте на все вопросы!

                                      С уважением Герасимов Александр

                                      Комментарий


                                      • #20
                                        Добрый день, Андрей!

                                        Отправил AGL 08-30-2000 09:11 AM
                                        Честно говоря, не совсем понял предмет нашего обсуждения. У меня создалось впечатление, что Вы не совсем верно оцениваете ситуацию, иначе откуда такое внимание к системе, с которой Ваша никак не пересекается?
                                        Что касается назначения - то обе системы предназначены для предоставления услуг по удаленному упарвлению счетами через Интернет. Что касается "внимания" - я считаю полезным обмен опытом и мнениями.

                                        Или Вы просто пытаетесь убедить всех, что Ваше решение лучше?
                                        Да, я пытаюсь всех убедить, что самостоятельное создание системы для Интернет-Банкинга очень не простая и достаточно дорогая затея. Что правильнее и разумнее покупать промышленные системы, предварительно _самостоятельно_ ознакомившись с различными вариантами.

                                        Что, до сих пор кто-то верит в существование абсолютно верных решений на все случаи жизни?
                                        А разве речь идет о системе вообще для всего и на все случаи жизни??? Нет, конечно. Очерчен четкий круг задач, которые должна решать система - это Интернет-Банкинг. Вот в этом достаточно небольшом круге вполне возможно идеальное решение.

                                        >В Вашем случае, когда у клиентов ставится >спец.ПО, с ростом количества клиентов >проблемы с сопровождением будут, как и с >обычным Банк-Клиентов, только расти. И нет >разницы с точки зрения суппорта (издержек >банка на сопровождение системы) >между "обычным Б-К" и Вашим "Б-К через >Интернет".

                                        Дмитрий, Вы что, являетесь пользователем нашей системы? Откуда Вы знаете, в чем заключается настройка и сопровождение? И есть ли они вообще? Почему Вы обсуждаете подробности работы с системой, о которой не имеете представления?
                                        Вполне разумное замечание. Я же со своей стороны перепробовал достаточно много различных систем, и обычные Банк-Клиенты, и Интернет-Банки, и коммерческие продукты, и разработанные банками самостоятельно. При этом общая картина вырисовывается очень четко и всегда предсказуемо. Мои рассуждения о Вашей системе строятся на моем опыте и на информации с Вашего www.abr.ru
                                        В тоже время, совершенно допустимо, что устанавливаемый Вами софт Вашим клиентам, работает практически на платформах, под всеми ОС и Web-браузерами. Автоматически, незаметно для клиента, инсталлируется к клиенту, и сразу без настроек (полностью автоматически) работает.

                                        >Также не надо забывать и об удобстве работы >клиента. В случае использования iBank
                                        >
                                        клиент может работать везде, где есть >Web-браузер. В Вашем случае - только там, >где уже стоит спец.ПО. Вот и "вся разница" >для клиента.
                                        Опять же, что Вы знаете об этом "спец.ПО"?
                                        Ориентируетесь только по названию на нашем же сайте?
                                        Да, я хорошо знаком с продуктами, выпускаемыми компанией Анатолия Лебедева, о которой упоминается в описании Вашей системы. И вполне могу очерчить обрамление. В принципе, для систем, основанных на Web-решениях, есть два пути - либо отдельный софт, работающий по принципу ProxySSL (локальный проксисервер, устанавливаемый на стороне клиента и через который в дальнейшем идут данные из/в Web-браузер) - как вариант - Интер-Про от Сигнал-КОМа. Либо Plugin-модуль, реализованный под API конкретных Web-браузеров, и обеспечивающий шифрование данных и ЭЦП под HTML-формами. Возможен, в общем-то, и третий вариант - использование ActiveX для MS IE.

                                        Если у Вас, Андрей, реализовано как-то по другому, с большим интересом ознакомился бы с Вашим решением.

                                        А к какому виду ПО ("спец" или "не спец") вы относите "файл с описанием русских шрифтов" для NN (см. www.ncbank.ru - это, кажется, Ваша система)?
                                        Система, работающая в НКБ - наша, iBank. Для Netscape Communicator-а старых версий необходимо скопировать файл с описанием русских шрифтов для виртуальной Java-машины. Онтести этот файл к спец.ПО, даже с большой натяжкой, всё-таки тяжело ;-)

                                        В общем, странный какой-то разговор получается. Вы пытаетесь оценить характеристики системы, которой не знаете. В чем Ваша цель? Если Вы не знаете подробностей о каком-то предмете, то может быть лучше спросить, а потом высказываться?
                                        Андрей, я высказывал в форуме исключительно свое субъективное мнение в отношении Вашей системы. В письме от 5 апреля Вы предлагали коллегам, участникам форума ознакомиться с Вашей системой. Вот собственно я и высказался в форуме, отметив как всегда только недостатки (IMHO) ;-)

                                        Кроме этого, я считаю, что максимально открытая позиция банка, компании разработчика по системе для Интернет-Банкинга - необходимое условие успеха. Иначе потом действительно в черных тонах могут объективно и убедительно высказаться конкуретны, и тогда издержки по имиджу будут существенно больше.

                                        С уважением, Репан Димитрий
                                        Компания "БИФИТ"

                                        [Сообщение отредактировал Димитрий (исправлено 01-09-2000).]
                                        С уважением, Репан Димитрий
                                        Компания "БИФИТ" - www.bifit.com

                                        Комментарий


                                        • #21
                                          >Но потом отказались от всех этих идей в пользу соблюдения "тонкости клиента". Да и минусов, кроме слабой встроенной в Web-браузеры криптографии, у решений, основанных на бае html-интерфейса до сих пор остается масса.

                                          Дмитрий, давайте разберемся с терминологией. Что Вы понимаете под "тонкостью клиента"? Я понимаю, что это тонкий канал связи, т.е. низкий трафик, а не количество килобайт доп.софта, стоящего у клиента. Я знаю и видел оба решения, просто решение на JAVA более масштабируемо, нежели решение на Web. А нужно ли это нашим банкам? думаю вряд ли 2000 - 3000 клиентов будет пользоваться интернет доступом так активно, что возможности более доступного (по цене и простоте) решения не хватит!!!
                                          Перечислите мне минусы, которые присущи web - технологии??

                                          >Это Web-решения дешевы. Дешевы и безперспективны. Разработка на Java сложнее и дороже на порядок.
                                          Ничего они не безперспективны, а просто ориентированы на другие, более маленькие банки. Вы же хотите продать свою систему ВСЕМ. Но не все банки крупные и потянут такие инвестиции в ваше решение. И стоимость Вашего решения будет никак не 30 уе за клиента, а существенно выше, т.к. Вы сами признаете, что разработка вашей системы намного сложнее и дороже!
                                          И еще хотел заметить Вам, что все ваши сообщения носят откровенно коммерческий характер, вы хотите всем ВТЮХАТЬ вашу систему! Я тоже можно сказать продаю системы, но воздерживаюсь от каких либо конкретностей.

                                          С уважением, Герасимов Александр.


                                          Комментарий


                                          • #22
                                            Отправил Alexander 09-01-2000 03:10 PM
                                            Дмитрий, давайте разберемся с терминологией. Что Вы понимаете под "тонкостью клиента"?
                                            Тонкий клиент (thin client) - это отсутствие на стороне клиента вообще какого-бы то ни было софта (это в идеале). На практике же под тонким клиентом подразумевают решения, когда пользователь для работы использует универсальный клиент - Web-браузер. Смысл такого подхода - максимальное облегчение пользователя. Нет специализированной программы - нет проблемы. Отпадает необходимость сопровождать юзеров. Когда клиентов немного - 20..50, то большой выгоды от этого нет. Когда у Вас 500 клиентов - уже чувствуете выгоду конкретно. Ну а если предполагается, что услуга должна предоставляться массово (тысяча и более клиентов), то просто совершенно необходимо учитывать такую составляющую как стоимость владения и сопровождения системы.

                                            Ведь все автоматизаторы в банке подсознательно стремятся сделать из PC банковского сотрудника тупой терминал, без винта, дисководов и т.д. Чтобы "рулить" пользователями было просто, чтобы весь софт, который приходится сопровождать, стоял в одном месте, в одном экземпляре. То же самое с Клиентами банка.

                                            Я понимаю, что это тонкий канал связи, т.е. низкий трафик, а не количество килобайт доп.софта, стоящего у клиента.
                                            Совершенно неверное понимание - и пусть меня опять не обвиняют в категоричности моей позиции ;-)

                                            Для минимального трафика как раз подходит толстый клиент. Взяли платежку, подписали, сархивировали, зашифровали - получился маленький файлик. И потом этот файлик Z-modem'ом и передали. Вот тут как раз будет самый минимальный трафик.

                                            Что же касается Интернет-Банкинга, то размер передаваемых данных в процессе РАБОТЫ пользователя тоже должен быть минимизирован. Это очень сильно влияет на интерактивность системы - на скорость работы интерфейса пользователя. Ведь Интернет-Банкинг - это он-лайн система. Скорость реакции интерфейса на действия пользователя должна быть приемлема, не вносить существенного дискомфорта в работу пользоватея. Это - один из плохоустранимых недостатков Web-технологии (html-интерфейса). Мы это проехали еще три года назад. Всё дело в том, что кроме самих данных в html-страницах содержится еще и форма представления данных, и javascript для проверки правильности ввода документа (ключевание, правильный формат дат, обязательность заполнения полей и пр.). При этом размер html-страничек вырастает до 15..20кбайт. Да, можно потрудиться, используя стили пр., но всё равно в плане интерактивности HTML существенно проигрывает Джаве. А еще есть сложности с печатью документов, сложности с импортом платежек из бухгалтерий клиентов и т.д.

                                            В нашем подходе, пользователю загружается Java-апплет размером до 100 Кбайт. Это 25..40 секунд в среднем. А потом обмен между Java-апплетом и Сервером Приложения идет очень быстро, так как трафик полность контролируем мы. Передаются только самые необходимые данные (но не форма представления документа и пр.). В принципе, допустимо использование механизма SoftUpdate, встроенного в Web-браузеры. В этом случае в html-странице, по которой загружается Java-апплет, содержится небольшой код на JavaScript'е, который говорит Web-браузеру, какая версия Java-апплета должна быть запущена. Web-браузер смотрит свой _специальный_ кэш, и если ранее Java-апплет этой версии загружался - достает из этого специального кэша. Что касается атак на модификацию Java-апплета в кэше Web-браузера пользователя - Java-апплет подписан Разработчиком (Сертификат нами получен в Thawte), и в случае нарушения целостности - JVM его не запустит, а выкачает с Web-сервера банка текущую версию.

                                            Я знаю и видел оба решения, просто решение на JAVA более масштабируемо, нежели решение на Web. А нужно ли это нашим банкам? думаю вряд ли 2000 - 3000 клиентов будет пользоваться интернет доступом так активно, что возможности более доступного (по цене и простоте) решения не хватит!!!
                                            Александр! В наших обсуждениях совершенно не рассматривался вопрос влияния асимметричной криптографии (процедура вычисления модульной экспоненты) на производительность системы в целом. Это на самом деле подводный камень всей электронной коммерции. Поясню на примере. Если Вы поставите Apache без SSL то производительность будет около 100 транзакций в секунду. Как только Вы включите SSL производительность упадет до 7..8 транзакций в секунду. Нагрузка создается в фазе согласования сеансовых ключей протокола SSL. Именно там достаточно много криптографических преобразований, пожирающих процессорные ресурсы. Так вот, разрабатывая, НАПРИМЕР, систему для платформы MS IIS, Вы в самом ближайшем будущем можете столкнуться с нехваткой процессорных ресурсов. И тогда пойдут в бой 2-х, а потом 4-х процессорные Xeon-ы. Далее -установка нескольких Web-серверов, если только Вы предусмотрели это при проектировании системы. Иначе - либо перепроектировать, либо ставить отдельный второй экземпляр системы, не пересекающийся с первым.

                                            Мы это всё учитывали на этапе проектирования. В принципе, кроме смены платформы есть еще вариант использования криптографических ускорителей. Например, CryptoSWIFT от Rainbow Technologies. Но ведь на это все надо закладываться с самого начала. Эти все вопросы должны быть проработаны и опробированы еще до принятия окончательного решения по выбору технологической платформы!

                                            Перечислите мне минусы, которые присущи web -технологии??
                                            Если кратко, то три основные:

                                            - отсутствие встроенного в Web-браузеры механизма ЭЦП под электронными документами, что влечет за собой установку у клиента либо дополнительного Plugin-а, либо что-то наподобие Интер-Про от Сигнал-КОМа

                                            - до последнего времени были проблемы с экспортными ограничениями США на сильную криптографию

                                            - низкая интерактивность интерфейса пользователя, основанного на HTML-страницах (для "физика" с одной платежкой в неделю это с нятажкой еще приемлемо, а вот для "юрика" в лице профессионального бухгалтера, которому надо за 20 минут набить 15 платежек - это просто "застрелиться", а не работа).

                                            А вот если Вы попробуете сделать на базе HTML-интерфейса и Web-а что-нибудь более интересное, например, систему для Интернет-Трейдинга, да не примитивную, как это сейчас предлагает несколько известных российских компаний-брокеров, а хотя бы с функционалом как в ИНИСТовском "Инвесторе" (правда это уже "толстый клиент"), да с учетом требований спекулянтов-трейдеров, когда задержка с обновлением информаци по котировкам не должна превышать 3 секунд от события на ММВБ, то вот тут-то Вы и почувствуете всю прелесть Java и все недостатки html по полной программе.

                                            Ничего они не безперспективны, а просто ориентированы на другие, более маленькие банки. Вы же хотите продать свою систему ВСЕМ. Но не все банки крупные и потянут такие инвестиции в ваше решение. И стоимость Вашего решения будет никак не 30 уе за клиента, а существенно выше, т.к. Вы сами признаете, что разработка вашей системы намного сложнее и дороже!
                                            Из наших чуть более 20 уже состаявшихся продаж и внедрений, 3/4 банков - небольшие банки, которые покупают систему в минимальной поставке - Лицензия на Сервер + 100 клиентов. Цена - 3k$ с учетом НДС. Еще, естественно, нужен компьютер, на котором будет крутится ОС, Сервер БД (чаще - MS SQL 7, реже - Oracle8 с 5-тью Лицензиями), постоянный канал в Интернет, естественно маршрутизатор (простенькая циска), Firewall (IP-фильтр + NAT на FreeBSD, Linux'е, Solaris'е; бывает также MS Proxy, CheckPoint, что-то более редкое). Дальше - внедрение, интеграция с АБС, техническая поддержка. В среднем, затраты на ПО iBank, его внедрение, интеграция с АБС и техподдержка на год ~4200$. Это непосильная сумма для небольших банков?! Да наша система уже в регионах работает, в том же Екатеринбурге - см. https://ibank.granbank.ru

                                            И еще хотел заметить Вам, что все ваши сообщения носят откровенно коммерческий характер, вы хотите всем ВТЮХАТЬ вашу систему! Я тоже можно сказать продаю системы, но воздерживаюсь от каких либо конкретностей.
                                            Александр, ВТЮХИВАЮТ фуфло. Мы же максимально открыты для банков. Мы публично и со всеми "конкретностями" говорим и пишем о нашей системе. Что интересно - криптография? - Пожалуйста, все расскажем и покажем, дадить попробовать, и даже посмотреть внутренности. Связка с АБС? Да без вопросов - все стратегии связки, механизмы взамиодействия с различными АБС и т.д. Вопросы по организации работы? Вопросы по схемам регистрации новых клиентов? Вопросы по получению Сертификата в VeriSign или Thawte? Вопросы по выработке или модификации политики IP-безопасности банка с последующей реализацией на имеющейся базе? ...

                                            Александр, мы бесплатно предосталвяем банкам систему с Лицензией на 5..10 клиентов - самостоятельно сами всё пощупайте, установите (не будет получаться - свяжитесь с нашим суппортом), поработайте, все взвесьте, обдумайте, обсудите в коллективе, а потом примите решение. Что еще надо?

                                            Мы не продаем кота в мешке. Спросите наших Клиентов (см. http://www.bifit.com/c-clients.html )

                                            С уважением, Репан Димитрий
                                            Генеральный директор компании "БИФИТ"

                                            [Сообщение отредактировал Димитрий (исправлено 01-09-2000).]
                                            С уважением, Репан Димитрий
                                            Компания "БИФИТ" - www.bifit.com

                                            Комментарий


                                            • #23
                                              Отправил Alexander 09-01-2000 10:23 AM
                                              1. Что это за имитовставка, кем она написана и как банк может гарантировать клиентам то, что посланная информация не расшифруется?
                                              Что касается используемых в системе iBank криптографических алгоритмов и протоколов, то все соответствующие исходные тексты предоставляются банкам совершенно свободно. Мы не делаем из этого секрета, в отличии от ФАПСИ и других орагнизаций и компаний. И уже несколько серьезных банков провели внутреннюю аттестацию системы iBank. А это лучше всяких бумажек ФАПСИ. На вопрос "как банк гарантирует..." - лучше всего финансовая ответственность, а не просто слова "гарантируем". Что касается имитовставки, то вроде я уже отвечал - ГОСТ 28147-89.

                                              2. Форматы сертификатов открытых ключей соответствуют Рекомендациям ITU X.509?
                                              Александр, Ваш вопрос некорректен, так как Вы рассуждаете в плоскоти Web-решений. Мы не делаем Сертификационного Центра по выдаче клиентам Сертификатов в формате X.509. В этом просто нет необходимости! Открытые же ключи ЭЦП клиентов хранятся исключительно в Сервере БД системы "iBank". В принципе, банк вполне может их выгрузить в необходимые форматы, в том числе и X.509.

                                              3. Может ли ваша система генерировать ключи администратора безопасности (Certificat Authority), формировать сертификаты открытых ключей на основе запросов пользователей?
                                              Да нет никакого Сертификационного Центра для управления Сертификатами клиентов. Нет никаких пользовательских (клиентских)Сертификатов, так часто используемых "построителями" систем для Интернет-Банкинга. Вы видите всю картину исключительно в плоскости Web-приложения, исполняющегося в рамках Web-сервера + ко всему этому локальный банковский Сертификационный Центр с выдачей клиентам пользовательских Сертификатов. Александр, на нашем Web-сервере - www.bifit.com - вроде достаточно подробно и доходчиво всё рассписано. Ознакомтесь внимательно, и вопросы будут более корректны.

                                              4. Кто (что) подписывает платежи клиентов?
                                              Электронные документы подписывает сам клиент ;-)
                                              Если более конкретно - Java-апплет. Секретный ключ ЭЦП клиента хранится в файле, в зашифрованном виде. Файл может быть где угодно - на дискете, на винте, и т.д.

                                              Как я понял ваша разработка не использует специализированный софт
                                              Да, на стороне клиента специализированного программного обеспечения, которое надо ставить и настраивать нет. Web-браузер, как и сама ОС, относятся к системному, широко распространенному софту.

                                              -аутентификации сервера банка на стороне клиента с помощью сертификата открытого ключа Web-сервера;
                                              Есть два Сервера.

                                              Первый - вспомогательный Web-сервер, с которого клиент скачивает html-страницу и java-апплет. На этом этапе используется http поверх SSL. Сертификат должен иметь только Web-сервер - для аутентификации Web-сервера и обеспечения целостности данных при загрузке. Шифровать трафик не надо. Экспортные ограничения никак не влияют на выработку стартового вектора для вычисления хеш-функции. Вобщем, здесь всё стандартно. Аутентификация клиента на этом этапе не проводится - любой может зайти и скачать HTML-страницу и Java-апплет.

                                              Второй Сервер - Сервер Приложения.

                                              Второй этап - взаимодействие загруженного в Web-браузер клиента Java-апплета с Сервером Приложения (не путать с Web-сервером). На этом этапе есть и аутентификация клиентом Сервера Приложения банка, и аутентификация банком клиента. Аутентификация сторон основана на криптографических алгоритмах.

                                              -аутентификации клиентов на стороне банка с помощью сертификатов открытых ключей пользователей;
                                              см. выше.

                                              -шифрованию трафика между клиентом и банком на базе криптографических алгоритмов;
                                              На первом этапе загрузки html-страницы и java-апплета трафик можно не шифровать. На втором этапе, при взаимодействии java-апплета с Сервером Приложения трафик шифруется. Именно здесь используется RSA с модулем 1024 бита для согласования сеансовых ключей и ГОСТ 28147-89 в режиме гаммирования для шифрования данных и в режиме имитовставки для обеспечения целостности данных.

                                              -формированию ЭЦП под электронными формами документов;
                                              ЭЦП клиента под финансовыми документами формируется Java-апплетом. Алгоритм - ГОСТ Р34.10-94 (ЭЦП) и Р34.11-94 (хеш-функция).

                                              -автоматической проверке ЭЦП.
                                              Проверка ЭЦП клиента под финансовыми документами происходит уже в банке, на Сервере Приложения системы "iBank". Открытые ключи ЭЦП клиентов для этого берутся с Сервера БД системы "iBank".

                                              Не проще было бы Вам использовать уже проверенное решение, например от Verisign или отечественного Сигнал-Ком?
                                              О чем конкретно Вы говорите? О механизме работы с Сертификатами и о стандарном SSL? Так ведь встроенный в Web-браузеры протокол SSL НЕ СОДЕРЖИТ механизма ЭЦП пользователя под электронными документами. Именно поэтому упомянутый Вами Сигнал-КОМ и реализовал на базе SSLeay свой Интер-Про, встроив поддержку механизма ЭЦП под HTML-формами. Что касается "проверенности" - Вы проверяли, смотрели исходные тексты Интер-Про? Или Вам, как квалифицированному специалисту, достаточно "авторитетных" заявлений и брязанья достижениями?

                                              В начале 1997 года мы также эксперементировали и с SSLeay, и с различным софтом, реализующим идею Proxy SSL (в том числе и Интер-Про), даже написали пару Plugin-ов для MS IE 3 и NN 3 (тогда это были самые свежие версии), реализовав протокол Secure HTTP. Но потом отказались от всех этих идей в пользу соблюдения "тонкости клиента". Да и минусов, кроме слабой встроенной в Web-браузеры криптографии, у решений, основанных на бае html-интерфейса до сих пор остается масса.

                                              Что же касается проверенности решения, то лучше, чем открытость исходников пока ничего не придумали. Сертификат ФАПСИ - страшилка для биг боссов и повод для госчиновников срубить денюжку. ФАПСИ не несет финансовую ответственность даже по сертифицированному ею ПО. Это всего лишь Сертификат соответствия. И всё. Я больше доверюсь SSLeay, чем Вербе и Шипу.

                                              Или же вы пошли по пути удешевления решения?
                                              Это Web-решения дешевы. Дешевы и безперспективны. Разработка на Java сложнее и дороже на порядок. То, что мы продаем по весьма низким ценам систему для Интернет-Банкинга - просчитанный маркетинговый ход, плюс хорошие стартовые инвестиции. Слепить Web-приложение для Интернет-Банкинга + прикрутить Интер-Про - от силы месяц работы для двух программеров. А вот сделать действительно промышленное, масштабируемое решение, работающее не только на MS Windows, но и на ВСЕХ серверных платформах (Solaris, AIX, OS/400, Linux, FreeBSD, и т.д.), с заложенными в сам продукт механизмами балансировки и распределения нагрузки, которое сможет обслуживать и полсотни клиентов и 50 тысяч клиентов - это годы работы и серьезные инвестиции, исчисляемые сотнями тысяч USD.

                                              ...а в вашем случае все непонятно! В подобных системах защита играет ключевую роль при выборе системы, а не ее функционал, который не сильно трудно реализовать на Java...
                                              О понимании - прочитайте наконец описания системы. Может тогда исчезнут вопросы не по теме. Что касается "не сильно трудно" - попробуйте ;-)

                                              Как проведете первое внедрение - сообщите.

                                              С уважением, Репан Димитрий
                                              Компания "БИФИТ"

                                              [Сообщение отредактировал Димитрий (исправлено 01-09-2000).]
                                              С уважением, Репан Димитрий
                                              Компания "БИФИТ" - www.bifit.com

                                              Комментарий


                                              • #24
                                                Дмитрий! Спасибо за содержательный ответ!

                                                Я прекрасно понимаю все ваши старания! Соглашусь, что у вашей компании грамотная маркетинговая политика - это Ваш козырь!

                                                Я и моя компания не есть Ваши конкуренты, т.к. мы не разработчики ПО, мы просто хорошие специалисты в области банковской автоматизации. Мы знаем много решений и выбираем лучшие из них для внедрения в наших банках!

                                                Спасибо за дискуссию, приятно с Вами общаться!

                                                С уважением, Герасимов Александр
                                                начальник отдела банковских
                                                технологий компании "Хост"

                                                Комментарий


                                                • #25
                                                  Добрый день, Димитрий!
                                                  >В письме от 5 апреля Вы предлагали >коллегам, участникам форума ознакомиться с >Вашей системой.
                                                  Ну, такая задача, как у Вас, передо мной не стояла - мы не собираемся ничего рекламировать и продавать. Обсуждать чисто технические аспекты того или иного решения можно довольно долго и это может быть полезным - в том случае, если участники принципиально допускают существование различных точек зрения.

                                                  Ваши призывы к подробной и профессиональной экспертизе вашей системы специалистами банков (особенно в части методов защиты информации) несколько противоречат Вашему же утверждению о нецелесообразности и неэкономичности проведения банками собственных разработок в этой области - ведь для этого в банке должна быть команда специалистов высокой квалификации. Гораздо более высокой, чем при использовании готовых решений. Если же в банке нет грамотных специалистов, то о качестве экспертизы чужих решений можно не говорить.

                                                  Вопрос о доверии к той или иной системе (алгоритм плюс реализация) шифрования/ЭЦП - именно вопрос доверия. То, что та или иная система сегодня считается надежной, означает только одно - у нас нет информации об успешных попытках ее взлома.

                                                  Число успешных продаж/инсталляций/отзывов пользователей больше говорит об успехах рекламной политики фирмы, чем о качестве ее продукции. Вы сами-то рекламе верите? Всегда?

                                                  Даже в столь узкой области деятельности, как разработка систем банк-клиент, возможно существование различных решений. Вам нравится Java - прекрасно, имеете право. А вот учить всех экономить деньги на собственных разработках и покупать только у Вас - не надо, даже если Вы являетесь специалистом и в этой области.

                                                  Я, как и Вы, в принципе за открытость. Только в данном случае Вы пытаетесь выступать в роли независимого эксперта, будучи на 100% заинтересованной стороной. Где-то в одном из форумов промелькнула вполне очевидная мысль о том, что объективным экспертом почти всех потребительских качеств системы может быть только юзер-бухгалтер, работающий на несколько разных фирм через разные системы банк-клиент. Да и это не совсем верно, потому что все равно не услышим профессиональной оценки способов защиты информации.
                                                  Но как дискуссии-то пошли, а? Мои поздравления Банкиру.Ру.
                                                  С уважением
                                                  А.Лебедев

                                                  Комментарий


                                                  • #26
                                                    Добрый день, Дмитрий!
                                                    Конечно, выбор средства реализации программных продуктов всегда останется за конкретным разработчиком, но хоронить web √технологии для Интернет √банкинга я думаю несколько преждевременно.
                                                    _______________quote____
                                                    - отсутствие встроенного в Web-браузеры механизма ЭЦП под электронными документами, что влечет за собой установку у клиента либо дополнительного Plugin-а, либо что-то наподобие Интер-Про от Сигнал-КОМа
                                                    _________________________________
                                                    ┘ либо реализацию этого механизма в Java-апплете.т.е. по сути написание собственной системы криптозащиты. Использование же готовых решений типа LanCrypto позволит в частности отказаться от SSL . В установке же специального ПО в этом случае я не вижу ничего страшного, если это ПО пара библиотек или ActiveX, не требующих дополнительной настройки. В этом случае процесс установки этого ПО ничем не отличается от процесса получения сертификата при закачке апплета.
                                                    _______________quote____
                                                    - до последнего времени были проблемы с экспортными ограничениями США на сильную криптографию
                                                    ________________________
                                                    при отказе от SSL (см.выше) это вообще не имеет значения
                                                    _______________quote____
                                                    - низкая интерактивность интерфейса пользователя, основанного на HTML-страницах (для "физика" с одной платежкой в неделю это с нятажкой еще приемлемо, а вот для "юрика" в лице профессионального бухгалтера, которому надо за 20 минут набить 15 платежек - это просто "застрелиться", а не работа).
                                                    _______________________________
                                                    Низкая интерактивность интерфейса HTML надо отметить заметно повышается с развитием браузеров. Разница между MSIE 3.01 и 5.0 очевидна, и то что не получалось сделать на HTML 2-3 года назад, сегодня вполне реализуемо. Кроме того, IMHO, работа ╚сильной криптографии╩ через dll происходит несколько быстрее чем на виртуальной java-машине, что также способствует уменьшению разницы между интерактивностью html и java.
                                                    С уважением, Анатолий Сапрыкин,
                                                    a2000_S@mail.ru

                                                    Комментарий


                                                    • #27
                                                      Банкир.Ру - ничто, главное участники форума и возможность свободного общения.
                                                      Сказался эффект насыщения.

                                                      Комментарий


                                                      • #28
                                                        Отправил AGL 09-14-2000 04:28 PM
                                                        Ваши призывы к подробной и профессиональной экспертизе вашей системы специалистами банков (особенно в части методов защиты информации) несколько противоречат Вашему же утверждению о нецелесообразности и неэкономичности проведения банками собственных разработок в этой области - ведь для этого в банке должна быть команда специалистов высокой квалификации. Гораздо более высокой, чем при использовании готовых решений. Если же в банке нет грамотных специалистов, то о качестве экспертизы чужих решений можно не говорить.
                                                        Вы связываете две разные вещи и потом называете это противоречием. Да, я считаю, что в большинстве случаев более правильным является выбор промышленной системы, реально эксплуатируемой в нескольких десятках банков. И это совершенно никак не противоречит открытости нашей системы. У банка есть несколько путей:

                                                        1. Напрячь своих программистов для реализации своей, самодельной системы для Интернет-Банкинга. Разработка же хорошей системы - очень дорогое "удовольствие". И когда "Атон" заявляет, что потратит на свою систему для Интернет-Трейдинга до конца года миллион долларов - я воспринимаю это не как рекламу возможностей "Атона", а как вполне реальные, адекватные расходы на получение высококачественного, современного и масштабируемого решения.

                                                        2. Купить готовую систему и сразу начать ею пользоваться. Здесь финансовых издержек по минимуму, но покупаете стандарный вариант, который может быть уже стоит у Вашего конкурента.

                                                        3. Заказать у понравившегося разработчика эксклюзивный вариант, потратив немалую сумму. А потом, потеряв темп, но выграв в качестве, догонять своих конкурентов.

                                                        Что касается вопроса внутренней аттестации программного продукта - это действительно тяжелая (в финансовом плане тоже) задача, и под силу только крупным банкам.

                                                        Вопрос о доверии к той или иной системе (алгоритм плюс реализация) шифрования/ЭЦП - именно вопрос доверия. То, что та или иная система сегодня считается надежной, означает только одно - у нас нет информации об успешных попытках ее взлома.
                                                        Одно дело когда система закрыта, и Вы даже не можете приблизительно оценить свои риски при ее эксплуатации. Другое дело, когда система открыта, публично обсуждаются все ее внутренности, есть доступ к реализации (исходным текстам). При этом в обоих случаех может не быть информации об успешных попытках ее взлома. Но, я уверен, что при описанном раскладе любой здравомыслящий человек сделает свой выбор в пользу открытой системы.

                                                        Число успешных продаж/инсталляций/отзывов пользователей больше говорит об успехах рекламной политики фирмы, чем о качестве ее продукции. Вы сами-то рекламе верите? Всегда?
                                                        Какая ж это реклама?! Я же не "тетя Ася", вещающая по телевизору каждый день о прелестях отбеливателя ;-)
                                                        Да и "покупатели" - вроде как квалифицированные специалисты, с головой на плечах! На практике же есть три варианта - личный опыт (внутренняя аттестация), опыт коллег (отзывы), выводы авторитетных экспертов(сертификаты). Есть выбор чему и в какой степени верить.

                                                        Что же касается рекламной политики...
                                                        Вообще-то рынок систем для Интернет-Банкинга совершенно неэластичен - спрос на систему очень мало меняется при изменении цены. Необходимость в банке подобной системы определяет руководство, и ставит задачу выбора. Выбор, как правило, делают автоматизаторы, то есть достаточно квалифицированные, профессиональные банковские сотрудники. Поэтому "впарить" банку плохую систему достачтоно сложно. Тут и хорошую продавать-то нелегко. А если качество низкое - конкуретны в миг затопчут.

                                                        А реклама... Реклама в основном направлена на аудиторию топ-менеджеров банков и "клиентщиков". Автоматизаторы же "разгрызают" разработчика и его продукт на запчасти, стремясь сделать правильный и взвешенный выбор. Хотя временами качество продукта, к сожалению, не всегда определяет этот выбор :-(

                                                        Я, как и Вы, в принципе за открытость. Только в данном случае Вы пытаетесь выступать в роли независимого эксперта, будучи на 100% заинтересованной стороной.
                                                        Когда это Я претендовал на роль Независимого Эксперта?! Да я всегда говорю, что мое мнение исключительно субъективное и заинтересованное! Как Вы и заметили, на все 100%

                                                        С уважением, Репан Димитрий
                                                        Компания "БИФИТ"

                                                        [Сообщение отредактировал Димитрий (исправлено 16-09-2000).]
                                                        С уважением, Репан Димитрий
                                                        Компания "БИФИТ" - www.bifit.com

                                                        Комментарий


                                                        • #29
                                                          Отправил Alexander 09-19-2000 12:24 PM
                                                          Перечислите мне эти банки и тогда банковское сообщество (участники конференции и не только) сможет оценить систему с разных сторон! Пока что мы ее видим только со стороны генерального директора компании-разработчика системы!
                                                          Часть списка банков, в которых внедрена и успешно эксплуатируется система "iBank":

                                                          - АКБ "ЮГРА", Сантк-Петербург

                                                          - КБ "Интеркредит", Москва

                                                          - КБ "Рублевский", Москва

                                                          - КБ "Национальный Коммерческий Банк", Москва

                                                          - КБ "Комунибанк", Москва

                                                          - АБ "АкадемХимБанк", Москва

                                                          - КБ "Дорожник", Челябинск

                                                          - КБ "Уральский Банк Реконструкции и Развития", Екатеринбург

                                                          - КБ "Гранкомбанк", Екатеринбург

                                                          - КБ "Томскпромстройбанк", Томск

                                                          - КБ "ЦентроКредит", Москва

                                                          Как я упоминал, существуют еще банки, которые в Договоре на поставку iBank'а настаивали на том, чтобы мы не указывали эти банки в рекламах без их ведома.

                                                          Сейчас еще с десяток банков находятся в стадии внедрения. К сожалению, система за полчаса не внедряется (ставится быстро). В среднем - месяц. В рамках внедрения проводятся работы по всему фронту - модификация политики IP-безопасности банка, установка и настройка самой системы "iBank", интеграция с АБС банка, и др.

                                                          В ряде крупных банков (первая двадцатка по числу обслуживаемых юриков) система "iBank" находится в стадии опытной эксплуатации. Еще 47 банкам была выдана Лицензия на 5..10 клиентов для опытной экплуатации версии 1.7.

                                                          С уважением, Репан Димитрий
                                                          Компания "БИФИТ"

                                                          [Сообщение отредактировал Димитрий (исправлено 19-09-2000).]
                                                          С уважением, Репан Димитрий
                                                          Компания "БИФИТ" - www.bifit.com

                                                          Комментарий


                                                          • #30
                                                            Дмитрий! Есть предложение!

                                                            Что если Вы пригласите на этот форум представителей банков, в которых уже работает ваша система? Пусть они и расскажут об эксплуатации системы в банках, т.е. какие трудности были при внедрении, эксплуатации, какие плюсы, как они оценивают уровень сопровождения и т.д. Вы же говорили насчет 20 успешных внедрений. Перечислите мне эти банки и тогда банковское сообщество (участники конференции и не только) сможет оценить систему с разных сторон! Пока что мы ее видим только со стороны генерального директора компании-разработчика системы!

                                                            Герасимов Александр

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X