Bankir.Ru
5 декабря, понедельник 01:26

Объявление

Свернуть
Показать больше
Показать меньше

Банковская тайна в И-Б от Faktura.Ru ?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Банковская тайна в И-Б от Faktura.Ru ?

    Сегодня в очередной раз облазил весь сайт Faktura.Ru.
    Искал как решается вопрос с обеспечением банковской тайны при использовании клиентами банков сервиса "Электронные платежи" (то бишь Интернет-Банкинг), предоставляемого Фактурой.

    Я понимаю, когда Клиент через защищенное соединение (SSL или что-то еще) взаимодействует непосредственно с Сервером И-Б, расположенным в Банке. Здесь на участке Клиент->Банк нет посредников, которые могли бы ознакомиться с конфиденциальной информацией.

    В случае же сервиса И-Б от Фактуры технически информация о совершенных через данный сервис платежах, а также информация о проводках по счетам клиентов (то есть ВЫПИСКИ) доступна провайдеру данного сервиса.

    Как такая ситуация согласуется с Федеральным Законом "О банковской тайне"?!

    Понимают ли клиенты, использующие данный сервис (то есть упоминается ли в Договоре на обслуживание по И-Б от Фактуры в явном виде), что конфиденциальная ифнормация клиента доступна провайдеру сервиса?! И многие компании согласны раскрывать свои финансовые потоки?

    Возможно я сгущаю краски или в чем-то ошибась.

    Но в любом случае развернутые комментарии представителей Фактуры были бы очень кстати.

    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com
    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com

  • #2
    Димитрий хочу напомнить Вам одну восточную мудрость:
    "один глупец может задать столько вопросов, что и сто мудрецов не смогут ответить". Только ради бога, не принимайте на свой счёт.
    Сегодня в очередной раз облазил весь сайт Faktura.Ru Я так понимаю, в этом заключается Ваша основная работа?
    Лазили всё с тем же результатом, как и в теме "Существуют банки, реально использующие..."
    Кстати, есть тема "Faktura", может перечитаете её, родимую ещё разочек.
    Димитрий , может после этого вопросов у Вас станет меньше, или они будут носить более конкретную формулировку.
    Если отвечать, то начинать надо с определения банковской тайны и прочее, прочее, прочее... Это всё равно, что спросить, а как у Вас в банке проводки формируются по операциям, какой план счетов и т.д.
    С уважением ко всем...

    Комментарий


    • #3
      отправила Шершнева Наталья (aka Natali_Sher)
      Димитрий хочу напомнить Вам одну восточную мудрость:
      "один глупец может задать столько вопросов, что и сто мудрецов не смогут ответить". Только ради бога, не принимайте на свой счёт.
      Хамите, Наталья...

      Сегодня в очередной раз облазил весь сайт Faktura.Ru Я так понимаю, в этом заключается Ваша основная работа?
      Нет, Наталья
      Но на самом деле перманентное ознакомление с решениями для И-Б от различных поставщиков существенно расширяет кругозор, и временами даже чуточку влияет на развитие функционала для наших решений.

      Но вернемся к вопросу данного топика.


      Есть некое ООО "Ромашка". Имеет, к примеру, счет в ОАО "Первый Республиканский Банк" (далее для краткости Банк). ООО "Ромашка" желает пользоваться услугой Интернет-Банкинг, предоставляемой Банком.

      Директора ООО "Ромашка" интересуют следующие вопросы:

      1. Имеет ли поставщик сервиса "Электронные платежи" (Фактура, не важно в лице какого сотрудника ЦФТ - гендиректора или сисадмина Фактуры), через который Банк оказывает услуги своим клиентам-юрлицам, техническую возможность доступа к информации о платежах и выписках ООО "Ромашка"?

      2. Если Фактура имеет техническую возможность знакомиться со всей информацией, проходящей через ее сервис "Электронные платежи", тогда директора ООО "Ромашка" интересует: "Как в этом случае с трехсторонним доступом к конфиденциальной информации (Банк, Клиент, Фактура) обеспечивается конфиденциальность данной информации?" Подписывается некий трехсторонний Договор между Банком, Клиентом и Фактурой о соблюдении банковской тайны?

      3. Какую ответственность (в финансовом выражении) перед банком и клиентом несет поставщик сервиса (Фактура) за разглашение конфиденциальной информации?


      Вопросы в общем-то максимально простые и не требуют привлечения ста мудрецов

      Всё еще надеюсь на конструктивный диалог...
      С уважением, Репан Димитрий
      Компания "БИФИТ" - www.bifit.com

      Комментарий


      • #4
        Димитрий
        Хотелось бы представить Вашему вниманию и посетителям форума развернутый
        ответ на Ваши рассуждения относительно соблюдения банковской тайны в
        системе Faktura.ru и соответствия системы требованиям Федерального Закона "О
        банковской тайне" со ссылками на положения указанного Федерального Закона.
        Однако, к большому сожалению, такой Федеральный Закон в России не
        существует.

        Проблема сохранения конфиденциальной информации и банковской
        тайны решается в Faktura.ru на техническом, организационном и договорном уровне.
        Оператор системы принимает на себя обязательства сохранять и не разглашать всю без
        исключения информацию, которая становится ему известной.
        Вся информация по принципам организации безопасности в Системе (как технической, так и информационной) является открытой и банки, принимающие решение о подключении к процессинговому центру Faktura.ru имеют возможность провести соответствующую экспертизу, после чего взвесить свои риски и принять окончательное решение.
        В том случае, если клиент банка не доверяет оператору системы или имеет опасения относительно сохранности своей финансовой информации, он, очевидно, не станет пользоваться системой.
        Абсолютной безопасности не существует, в случае с Faktura.ru мы можем предложить своим клиентам комплекс технических мероприятий, сводящих к минимуму риски разглашения информации, а также мероприятия организационные и договорные.

        Мы создавали и уже третий год активно развиваем систему Faktura.ru не
        только для себя, а в первую очередь для клиентов и заинтересованы в её
        работоспособности, безопасности, соответствии требованиям законодательства ( ст.25 Закона о банках и банковской деятельности) и стараемся учитывать мнения и пожелания участников, направленные на усиление указанных компонент.

        Комментарий


        • #5
          Диана, огромное спасибо за развернутый ответ!
          С уважением, Репан Димитрий
          Компания "БИФИТ" - www.bifit.com

          Комментарий


          • #6
            Димитрий

            Пожалуйста.

            С уважением,
            Дроздова Диана
            Faktura.ru

            Комментарий


            • #7
              Небольшой комментарий к вопросу организации информационной безопасности в Faktura.ru

              Вопрос обеспечения информационной безопасности в системах интернет-банкинга непраздный. На РусКрипто 2002 этой теме было посвящено большое количество выступлений профессионалов в области защиты информации, состоялись интересные дискуссии.

              К счастью в наше время защита информации перестала быть эзотерическим
              учением и для защиты клиентов достаточно профессионально воспользоваться доступными методологиями и технологиями.

              Сегодня для того, чтобы совершить в Faktura.ru критичную операцию, вместе
              должны собраться три ответственных лица, специально назначенных приказом.
              Так что украсть данные ни у кого из них не получится, даже если возникнет
              желание. И компания следит за тем, чтобы таких возможностей не появлялось,
              потому что заинтересована в защите информации не меньше чем банк.
              Практика показывает, что специализированная организация может обеспечить (и обеспечивает) очень высокий уровень информационной безопасности. И наши участники это понимают.

              Одна из причин, по которой был создан портал, в котором располагается процессинговый центр Faktura.ru – было то, что банки – пользователи программно-аппаратных комплексов ЦФТ, всё чаще стали обращаться к нам c просьбой об оказании услуг по удалённому администрированию их телекоммуникационных комплексов. Обусловлено это частично тем, что пока недостаточно в стране квалифицированных специалистов и зарплаты у них должны быть высокими, и подбирать их нужно специальным образом.

              Много ли банков у нас использует Trusted Solaris? У какого банка сервер баз данных располагается за тремя периметрами сетевых экранов? Какой банк может себе позволить, чтобы они администрировались разными сотрудниками?

              Думаю, что немногие….

              В Америке уже достаточно давно поняли, что банк должен решать финансовые
              задачи, развивать бизнес. Поэтому там большую часть технических вопросов
              банки поручают специализированным центрам. Всё больше банков арендуют у
              них аппаратные и программные ресурсы. Поэтому банку не нужно заботиться об
              обновлении серверов, программного обеспечения, подборе и оплате
              технического персонала. Банки работают в финансовой области, и именно она, а не ниблы и симы является областью их профессиональных интересов.

              Мне кажется, что и в России появляется всё больше людей, которые понимают,
              что мойку должен подключать сантехник, машину ремонтировать - автомеханик.

              С уважением, Александр Володин.
              Начальник отдела информационной безопасности Центра Финансовых Технологий

              Комментарий


              • #8
                Сегодня для того, чтобы совершить в Faktura.ru критичную операцию, вместе должны собраться три ответственных лица, специально назначенных приказом.
                Даже для того, чтобы сделать бэкап Базы Данных со всеми документами и выписками клиентов? (речь не идет о таких критических операциях, как выдача сертификата Банку - речь идет о доступе к информации, порой уже онного хватает с головой для диструктивных действий конкурентов).

                Или у Фактуры в Сервере БД (предполагаю что Оракл) вся информация о платежках клиентов, о проводках по счетам клиентов (выписки), хранится в блобе в зашифрованном виде и только сам Банк и клиент-владелец документов может расшифровать данные непосредственно на своих рабочих местах, а компания-разработчик не имеет даже технического доступа к данной информации?!?!?! Но тут ведь уже писали о доверии клиента к сервис-провайдеру, доверие банка к сервис-провайдеру... Странно...

                В общем проясните ситуацию, либо доступ к информации есть, и тогда уже не важно - у какого сотрудника (каких) есть доступ, либо у компании нет технического доступа к информации, и тогда значит раньше общественность была введена в заблуждение.

                Много ли банков у нас использует Trusted Solaris? У какого банка сервер баз данных располагается за тремя периметрами сетевых экранов? Какой банк может себе позволить, чтобы они администрировались разными сотрудниками?

                Думаю, что немногие…
                Да что ж Вы, Александр, всех так пугаете?! Мало значит Вы были в гостях в российских и особенно в московских банках.

                На Ваш вопрос отвечаю: "Да, я лично не один раз видел в банках Trusted Solaris. Чего здесь удивительного?!"

                Во многих банках также используется эшелонированная защита. Во многих банках также есть и своя автономная система (для надежности), и файрволы, и IDS, и масса других технических средств.

                А уж про политику информационной безопасности, про организационно-технические методы... Тут очень многим небанковским организациям до некоторых банков "як до Киева рачком"

                В Америке уже достаточно давно поняли, что банк должен решать финансовые задачи, развивать бизнес. Поэтому там большую часть технических вопросов банки поручают специализированным центрам. Всё больше банков арендуют у них аппаратные и программные ресурсы. Поэтому банку не нужно заботиться об обновлении серверов, программного обеспечения, подборе и оплате технического персонала.
                Всё бы хорошо с аутсорсингом банковских IT-задач, но вот, ИМХО, отдавать собственную информационную безопасность на аутсорсинг - либо верх доверия, либо верх безрассудства.
                С уважением, Репан Димитрий
                Компания "БИФИТ" - www.bifit.com

                Комментарий


                • #9
                  Димитрий
                  Даже для того, чтобы сделать бэкап Базы Данных со всеми документами и выписками клиентов? (речь не идет о таких критических операциях, как выдача сертификата Банку - речь идет о доступе к информации, порой уже онного хватает с головой для диструктивных действий конкурентов).

                  Backup базы данных является критичной операцией и выполняется в соответствии с регламентом осуществления таких операций. Я не понимаю, что Вас так удивляет.

                  Со специалистами банков я, в силу своих служебных обязанностей, общаюсь немало, и с московскими не реже, чем со всеми другими вместе взятыми. Действительно, сегодня во многих банках есть грамотные специалисты. Но вопреки Вашим заявлениям построить полноценную защиту за 10 тысяч долларов невозможно. Это очень опасное заблуждение.

                  С TrustedSolaris в банках Вы явно погорячились. Ни один российский банк не купил эту систему. Да и сертифицированных специалистов по ней в России всего двое. Один работает в Sun Microsystems, второй - в ЦФТ. Система эта не так проста в обращении, как кажется, и допускать к ней дилетанта - безумие. Так что не стоит делать таких напористых и "убедительных" заявлений, не имея аргументов, их подтверждающих.

                  Видимо, у нас с Вами разные понятия о надежности, профессионализме и ответственности. В принципе это объясняет ваше беспокойство.

                  Александр Володин.
                  Начальник отдела информационной безопасности Центра Финансовых Технологий

                  Комментарий


                  • #10
                    отправил Александр Володин
                    Backup базы данных является критичной операцией и выполняется в соответствии с регламентом осуществления таких операций. Я не понимаю, что вас так удивляет.
                    Удивляет отписка, Александр. Я не хочу переходить к ВЫВОДАМ о профессионализме, как это делаете Вы, Александр, профессионализме того или иного участника Форума, но общие фразы как-то "в соответствии с регламентом" - это и есть отписка, это и есть прятание элементарных действий за заумные высокопарные фразы, это и есть пыль в глаза.

                    Действительно, сегодня во многих банках есть грамотные специалисты. Но вопреки вашим заявлениям построить полноценную защиту за 10 тысяч долларов невозможно. Это очень опасное заблуждение.


                    Александр, Ваши выводы вызывают у меня улыбку

                    Я прекрасно понимаю, что можно ОСВОИТЬ и 10k$, и 30k$, и даже постараться не вписаться в 100k$.

                    Но как специалист по инфомационной безопасности, коим Вы себя здесь, в Форуме представляете, именно Вы, Александр, должны знать, что уровень защищенности не определяется суммой денег, затраченных на реализацию политики информационной безопасности.

                    Простая политика - простые и недорогие средства ее реализации.

                    Сложная политика - требуются сложные, дорогие и чрезвычайно гибкие средства.

                    А по поводу 10k$ на IP-безопасность... В Московском Сбербанке пару..тройку лет назад использовали чрезвычайно действенное средство для обеспечения IP-безопасности - средство под названием "воздушный файрвол"

                    То есть полное отсутствие связи локальной сетки с Интернетом - ни через Ethernet, ни через СОМ-порты, ни через модемы, ни через дискеты, ни даже через внешний двухканальный SCSI-контроллер (эдакая аппаратная "шара").

                    Видимо, у нас с вами разные понятия о надежности, профессионализме и ответственности. В принципе это объясняет ваше беспокойство.
                    Выводы о чужом профессионализме... опять выводу... Это что, эдакий корпоративный стиль ЦФТ?! Не знаем к чему аппелировать, что сказать, и переходим на личности?!

                    Александр, всё же пытаясь вернуть дискуссию в конструктивное русло, прошу прояснить ситуацию,

                    - либо доступ к информации клиента у Фактуры есть, и тогда уже не важно - у какого сотрудника (каких) есть доступ,

                    - либо у Фактуры нет технического доступа к информации клиента.
                    С уважением, Репан Димитрий
                    Компания "БИФИТ" - www.bifit.com

                    Комментарий

                    Пользователи, просматривающие эту тему

                    Свернуть

                    Присутствует 1. Участников: 0, гостей: 1.

                    Обработка...
                    X