Bankir.Ru
2 декабря, пятница 23:08

Объявление

Свернуть
Показать больше
Показать меньше

Стоит ли банку заводить свой УЦ?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Стоит ли банку заводить свой УЦ?

    Среди альтернатив - либо использовать публичный УЦ, либо вообще не связываться с сертификатами. Возможно, для работы с физлицами и юрлицами требуется разный подход.

    И что сейчас может предложить рынок?

  • #2
    Публичный УЦ за выпуск сертификата денег хочет. И много ли найдется физиков, которые согласятся каждый год для работы в интеренетбанке за получение сертификата платить скажем 20$?
    Банку тоже невыгодно платить эти деньги за клиентов, свой УЦ обойдется дешевле.

    Да и нет пока этих публичных УЦ, а работать надо здесь и сейчас.
    Just do it!

    Комментарий


    • #3
      По поводу того, что электронный документооборот (разновидностью которого является IB) надо строить на PKI у меня лично сомнений нет. Ничего более доступного и логичного пока не придумано.

      Совершенно согласен с Михаилом в том плане, что нужно экономически обосновывать место нахождения УЦ. Но с однозначной оценкой, что УЦ размещать только в банке, я бы не спешил. В качестве затравки на подумать, можно предложить размещение УЦ в рамках какой то банковской коалиции- ассоциации и в этом случае издержки можно минимизировать, в этом случае и межбанковскую интеграцию осуществлять значительно проще.

      Комментарий


      • #4
        Такая банковская коалиция нужна мелким банкам, у которых по несколько сотен клиентов, работающих через системы удаленного обслуживания счетом.
        В случае, если у банка тысячи таких клиентов, то УЦ в банке себя окупает.
        Just do it!

        Комментарий


        • #5
          Повторю в данном топике свой несколько измененный постинг из топика "4 АУДЭД. Достоверность сведений сертификата" (http://dom.bankir.ru/showthread.php?s=&threadid=28540 ), т.к. он больше относится к данной теме, и отвечу здесь на замечания к нему. Кстати, в том же топике даны определения личному, гражданскому и служебному сертификатам, а также рассмотрены вопросы взаимодействия банков с публичными УЦ по оформлению сертификатов своим клиентам.

          Итак, возможны следующие варианты использования банками сертификатов:

          Для юрлиц

          1. У банка корпоративный УЦ
          а) Клиент обходится только корпоративным сертификатом
          б) У клиента есть публичный служебный сертификат, который регистрируется для использования в корпоративном УЦ
          в) По желанию клиента Банк оформляет ему служебный сертификат в публичном УЦ и регистрирует этот сертификат в корпоративном.
          г) У клиента есть публичный гражданский сертификат и на его основе в корпоративном УЦ создается атрибутный сертификат со служебной (должностной) информацией.

          2. У банка свой собственный публичный УЦ, но сертификаты выдаются в нем банком только своим клиентам (чтобы было дешевле).

          Для физлиц те же пункты, кроме 1 г), только вместо публичных служебных сертификатов - публичные гражданские.

          Sergey_Murugov: УЦ не регистрирует сертификаты, а создает их сам

          Публичный УЦ конечно, но корпоративный УЦ должен уметь это делать (если кросс-сертификация позволяет - нет проблем). Так как если в банк придет физлицо, у которого уже есть свое устройство iKey (iButton, eToken), где записаны секретный ключ и служебный сертификат, выданный одним из публичных УЦ, то корпоративный УЦ должен просто зарегистрировать этот сертификат и использовать его в работе. Если у клиента ничего нет, то корпоративный УЦ может сделать сертификат клиенту сам - для использования исключительно внутри корпоративной информационной системы.

          Sergey_Murugov: Публичный УЦ, который выдает сертификаты НЕ ВСЕМ – такого не бывает!

          Это легко сделать, например, льготными тарифами обслуживания в УЦ для клиентов банка и повышенными для остальных. Более того, публичный УЦ банка может стать важным инструментом в борьбе за клиента.

          Комментарий


          • #6
            to sandyman
            Мне кажется совершенно неправильный подход – вводить понятия принадлежности сертификата, т.с. ограничивая его применение для человека.
            Мне кажется все должно выглядеть так:
            Есть цифровой сертификат выпущенный по правилам ФЗ «Об ЭЦП», все равно в какой криптосистеме, и все равно где (либо снаружи, либо внутри корпорации). Надо только уметь привязать конкретный сертификат пользователя к правам или правилам внутри банковской системы, и это вопрос чисто технический. Для решения этой задачи (как я уже писал) существует стандартное решение АА (RFC 3281).
            Если же следовать вашей логики по созданию многих разновидностей сертификатов, пользователь, и так не шибко разбирающийся во всем этом вконец запутается, тем паче чем сложнее логика (более одного сертификата) тем труднее это все стандартизовать в рамках страны или банковского сообщества.
            Еще раз, мне кажется, есть цифровой сертификат и пользователь при заведении счета «регистрируется» в банковской системе, причем пользователю и знать то ничего не надо, при обращении его к ресурсу банка автоматически извлекается его атрибутный сертификата, где прописаны связки с его атрибутами в банковской системе (№ счета ....) и полиси (проводить платежи (макс. Сумма), просмотр выписок и т.д.). В этом случае появляется потрясающая гибкость, что бы не утвердили в стране (формат, криптосистемы и т.п.) банковская система легко подстроиться и ничего там менять не надо.
            И не надо делить сертификаты ЭЦП на физиков и юриков.

            Комментарий

            Пользователи, просматривающие эту тему

            Свернуть

            Присутствует 1. Участников: 0, гостей: 1.

            Обработка...
            X