25 февраля, вторник 09:05
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #31
    Сообщение от ost Посмотреть сообщение

    Я вас умоляю. Для кредитов вообще никогда не было таких ограничений. Не открывай текущий счет клиенту, выдавай кредит на карту и вперед с песней. МФО так и работают.
    На "карту" нельзя выдать, она банку принадлежит, деньги на счету, на "карте" нет их. То что МФО делает перевод P2P по номеру карты для банка не вариант вообще.

    Комментарий


    • #32
      IgorL, межбанк никто не отменял. Введет клиент в форму номер счета в другом банке и получит переводом на него кредит.
      Это уже малозначительные детали.

      Комментарий


      • #33
        Сообщение от IgorL Посмотреть сообщение
        На "карту" нельзя выдать
        Я имел ввиду карту другого банка.
        Хотя, возможны ещё карты без открытия счета...

        Комментарий


        • #34
          Сообщение от Kuban User1 Посмотреть сообщение
          IgorL, межбанк никто не отменял. Введет клиент в форму номер счета в другом банке и получит переводом на него кредит.
          Это уже малозначительные детали.
          Это на словах они малозначительные. В банках ведется учет и допустимая корреспонденция 455 счетов не позволит кинуть деньги на счет клиента в другом банке. Только через кассу, банкомат, на счет его карты в этом банке или на счет поставщика, если это автокред или ипотека.


          Сообщение от ost Посмотреть сообщение
          Я имел ввиду карту другого банка. Хотя, возможны ещё карты без открытия счета...
          Не важно чья карта. МФО выдает займы, их можно выдавать как угодно, главное иметь доказательство что заемщик заем получил. Банки выдают кредиты, их выдача регулируется не только ГК но и банковским законодательством. (смотри выше). Перевод на карту без открытия счета к тому же чреват для банка отзывом лицензии, он без идентификации получателя, что запрещено законом о НПС.

          Комментарий


          • #35
            Сообщение от IgorL Посмотреть сообщение
            В банках ведется учет и допустимая корреспонденция 455 счетов не позволит кинуть деньги на счет клиента в другом банке.
            Однако, например, Хоумкредит вполне себе выдает потребы межбанковским переводом. Либо ваши сведения относительно допустимой корреспонденции устарели, либо есть обходные варианты.

            Комментарий


            • #36
              Сообщение от IgorL Посмотреть сообщение
              МФО выдает займы, их можно выдавать как угодно, главное иметь доказательство что заемщик заем получил. Банки выдают кредиты,
              Простая игра слов.
              Не заморачивайтесь, к Информбезопасности это не имеет отношения.

              Комментарий


              • #37
                Сообщение от ost Посмотреть сообщение

                Простая игра слов.
                Не заморачивайтесь, к Информбезопасности это не имеет отношения.
                К какой "информбезопасности"? К ватно-бумажно-сферической не имеет. Но к ней и идентификация не имеет отношения. Так и окажется что в банках никто не понимает и никто не отвечает за ЕБС, деньги навесят и переведут жуликам "обходными вариантами". Худо/бедно при идентификации по документу и физическому присутствию есть конкретное лицо и то случаев выдачи на поддельный документ и получения вкладов по поддельным документам даже на этом сайте немало.

                Еще больше укрепился во мнении - ни в коем случае не попадать в эту базу!


                Комментарий


                • #38
                  Сообщение от Kuban User1 Посмотреть сообщение
                  Хоумкредит вполне себе выдает потребы межбанковским переводом.
                  Не знаю как он выдает. Возможно выдает наличными по проводкам и по твоему заявлению, подсунутому в кипе бумажек делает срочное пополнение карты/перевод на счет. Суть в том, что я сам никогда в "Хоумкредиты" не обращусь, физически не зайду. А жулики через ЕСИА+ЕБС запросто. (((

                  Комментарий


                  • #39
                    Сообщение от IgorL Посмотреть сообщение
                    Еще больше укрепился во мнении - ни в коем случае не попадать в эту базу!
                    Запинают и загонят.
                    Вот недавно всех работающих с Росреестром загнали в ЕСИА. Хочешь работать заводись на ЕСИА.
                    Следующим шагом сделают для них обязательной биометрическую аутентификацию и пойдешь сдаваться, а не хочешь -- увольняйся.

                    Комментарий


                    • #40
                      Сообщение от ost Посмотреть сообщение
                      Следующим шагом сделают для них обязательной биометрическую аутентификацию и пойдешь сдаваться, а не хочешь -- увольняйся.
                      Так и будет! )))

                      Комментарий


                      • #41
                        TWIMC про OIDC вообще и ЕСИА в частности.
                        Я за прошлую неделю минимум дважды уже говорил, что среди прочего электронного правительства - ЕСИА подобна лучу света в тёмном царстве.
                        Например, касаясь "идентификации без присутствия". Теоретически законодатель оставляет банку две возможности.

                        1. Банк получает данные от человека, представившегося клиентом, проверяет паспорт и СНИЛС через СМЭВ в пенсионном фонде (на самом деле паспорт ещё и в МВД, но это в ПП не записано ) и после этого считает клиента идентифицированным.
                        2. Банк направляет человека, представившегося клиентом, на портал госуслуг, тот входит в ЕСИА со своим идентификатором и паролем (они в банк не передаются), после чего ЕСИА спрашивает, желает ли клиент открыть фио и паспортные данные системе этого, обратившегося, банка - и после того, как клиент подтвердит передачу - посылает человека обратно на сайт банка с тикетом на получение сведений и банк их получает в отдельном коннекте в течении 10 минут с дополнительным параметром (имеющим смысл идентификатора сессии банка).

                        Как чистому программисту, второй вариант мне представляется на порядок более безопасным. Хотя, конечно, требует от человека: (1) умения отличить портал госуслуг от поддельного портала госуслуг (2) понимания чего у него спрашивают, и умения выбирать как "далее, да", так и "нет, спасибо".

                        Что в том же ЕСИА зачем-то кроме просто "подтвержденной записи" появится "суперподтвержденная", при этом отдельным избранным банкам будет позволено в эту базу класть биометрию (а почему кстати не УЦ?), а другим ещё более избранным (не понимаю, почему в перечне нет НКО; как раз и именно при переводах без открытия, в отличие от вкладов, - удаленная идентификация это ключевое умение, да и кредитная история целее будет) пользоваться "суперподтвержденными записями", - нет, не понимаю.
                        /kiv

                        Комментарий


                        • #42
                          Фальстарт, в смысле пока рано эту тему обсуждать. Закон, помимо прочего, внес изменения в трехглавый закон (статья 14.1). Целиком цитировать не буду, но выглядит так, что впору запасаться попкорном. Избранные части этой статьи:

                          6, 8. Порядок внесения сведений о человеке в ЕБС и их состав определяет Gравительство. Т.е. банки, может, и хотели бы идентифицировать клиента по голосу или по фотке со смартфона, но разрешит ли такую порнографию правительство - пока вопрос.
                          10, 11. Деятельность, связанная с использованием ЕБС, поднадзорна ФСБ и ФСТЭК, но кроме банков - за ними бдит ЦБ.
                          12. При этом правительство назначает единого мегарегулятора, уполномоченного по всем вопросам биометрии.
                          13. Мегарегулятор
                          а) определяет требования к информационным технологиям и техническим средствам биометрической идентификации
                          б) вводит процедуру оценки соответствия технических средств;
                          в) определяет допустимые способы биометрической идентификации
                          14. ЦБ вместе с оператором ЕБС определяет актуальные угрозы биометрической идентификации в финансовой сфере и согласовывает их ФСБ и ФСТЭК,
                          15. Принимать решение "он или не он" при идентификации клиентов могут только избранные банки, избранные госорганы и сам оператор ЕБС. Идентификация может проводиться только по методикам, одобренным мегарегулятором.
                          17. Оператор ЕБС - крупный оператор связи, назначенный Правительством
                          19. При передаче биометрических ПД должны использоваться сертифицированные СКЗИ, причем на всем маршруте передачи. Обязанность предоставить клиентам такие СКЗИ возложена на банки.
                          20, 21. Если клиент использует мобильной устройство, для которого нет СКЗИ, он обязан быть послан нафиг. А вот если он использует стационарный комп, для которого нет СКЗИ, то его должны мягко пожурить, но если он настаивает - то так и быть, фиг с ними, с СКЗИ.
                          22. Согласие на использование биометрии можно давать и получать через госуслуги.

                          В сухом остатке:

                          1. Мегарегулятор не назван. Теоретически ими могут быть Минкомсвязь, МВД, ФСБ или ФСТЭК. ФСТЭК вопросами биометрии не занимается, а первых двоих ФСБ отодвинула еще во времена ПФДНП. Ну и в части 14 мегарегулятор не фигурирует, хотя с ним-то как раз и должны угрозы согласовыватся. Значит, вероятнее всего им будет ФСБ. Но интрига пока сохраняется
                          2. Вторая интрига - какие именно методы биометричекой идентификации мегарегулятор пропустит. Пока кошерным считается только наследство ПВДНП - идентификация по фотографии, сделанной установкой Штрих, и отпечатки пальцев.
                          3. "Высокотехнологичные банки", обещавшие, что внедрят биометрию в мобильный банкинг, фактически посланы нафиг. В этом случае мобильное устройство становится техническим средством биометрической идентификации, должно быть сертифицировано мегарегулятором и иметь на борту сертифицированное СКЗИ.

                          По совокупности - в розничном банкинге это работать не сможет, а в корпоративном это не нужно. Остаются разве что банкоматы, терминалы самообслуживания и т.п.

                          Комментарий


                          • #43
                            Сообщение от malotavr Посмотреть сообщение
                            2. Вторая интрига - какие именно методы биометричекой идентификации мегарегулятор пропустит.
                            Никакой интриги, уже всё давно решено -- голос и фото (видео).

                            Сообщение от malotavr Посмотреть сообщение
                            "Высокотехнологичные банки", обещавшие, что внедрят биометрию в мобильный банкинг, фактически посланы нафиг. В этом случае мобильное устройство становится техническим средством биометрической идентификации, должно быть сертифицировано мегарегулятором и иметь на борту сертифицированное СКЗИ.
                            Всё гораздо проще -- для этих целей будет выпущено мобильное приложение (и разработка почти закончена).

                            Сообщение от malotavr Посмотреть сообщение
                            15. Принимать решение "он или не он" при идентификации клиентов могут только избранные банки, избранные госорганы и сам оператор ЕБС.
                            Не "избранные", а скорее "желающие и имеющие техническую возможность", ну и конечно исправно платящие дань оператору ЕБС (т.е. Ростелекому).

                            Сообщение от malotavr Посмотреть сообщение
                            разрешит ли такую порнографию правительство
                            Конечно разрешит, зря что ли люди работали и закон принимали. Вопрос только в том когда выйдет соответствующее ПП.

                            Комментарий


                            • #44
                              Что решили и что разработали особо одаренные банки, трижды наплевать. Пока нет регулятора, пока нет утвержденных методик идентификации, пока нет сертификации средств идентификации на соответствие этим методикам и пока нет сертифициррванных СКЗИ, которые банки смогут использовать в мобильном банкинге,, использование биометрии запрещено этим самым законом.

                              Так что разработчики могут положить почти законченную разработку на полку и раз в год смахивать с нее пыль А там посмотрим

                              Комментарий


                              • #45
                                ....Высокотехнологичные банки", обещавшие, что внедрят биометрию в мобильный банкинг...
                                Сообщение от malotavr Посмотреть сообщение
                                Что решили и что разработали особо одаренные банки, трижды наплевать. Пока нет регулятора, пока нет утвержденных методик идентификации, пока нет сертификации средств идентификации на соответствие этим методикам и пока нет сертифициррванных СКЗИ, которые банки смогут использовать в мобильном банкинге,, использование биометрии запрещено этим самым законом.
                                Банки встраивают биометрическую аутентификацию в мобильный банкинг, а клиент в договоре ДБО соглашается и включая биометрическую аутентификацию еще раз подтверждает, что он он сам выбрал такой способ аутентификации. Так что никто ничего смахивать не будет, аутентификация по отпечатку работает уже сейчас и не в одном-двух банках мобильных банках, на выходе аутентификация по голосу с картинкой.

                                Удаленная же идентификация пока не особо то и интересна, кому очень нужно отправляет "сотрудника" банка, он проведет идентификацию хоть дома у клиента. Стоит это не фантастически дорого, достаточно понятно и относительно надежно. Будет ли существенный приток доходных клиентов из ЕБС еще вопрос. Пока там база заполнится и заполнится ли она осторожными состоятельными, представляющими интерес для бака как источник длинных пассивов или обеспеченных активов...

                                Комментарий


                                • #46
                                  Сообщение от malotavr Посмотреть сообщение
                                  использовать в мобильном банкинге,
                                  Мобильный банкинг тут совершенно ни при чём. В МБ биометрическая идентификация не нужна.

                                  Комментарий


                                  • #47
                                    Сообщение от ost Посмотреть сообщение

                                    Мобильный банкинг тут совершенно ни при чём. В МБ биометрическая идентификация не нужна.
                                    Жалко только, что Тиньков об этом не знает
                                    Последний раз редактировалось malotavr; 31.01.2018, 00:01.

                                    Комментарий


                                    • #48
                                      Сообщение от malotavr Посмотреть сообщение
                                      Жалко только, что Тиньков об этом не знает
                                      Тиньков об этом знает всё.

                                      Комментарий


                                      • #49
                                        Сообщение от ost Посмотреть сообщение
                                        Тиньков об этом знает всё.
                                        ​​​​​Поэтому я и не стал бы говорить, что мобильному банкинну биометрия неинтересна.

                                        Обещанное Тиньковым "идентифицировать клиента за 15 сек разговора" - классная фишка именно для мобильного банкинга. И если с идентификацией по изображениям (лицо, пальцы, кисть руки и т.п.) все давно понятно, то проект стандарта на формат голосовых данных (даже не на способы идентификации по ним) уже скоро совершеннолетие отметит неутвержденным Там слишком много заморочек и с качеством образцов, и со способами кодирования, и с достоверностью идентификации.

                                        Банки могут писать какие угодно мобильные приложения, но упрутся в установленные законом ограничения по применению СКЗИ и оценке соответствия технических средств. Как они с ними будут справляться - посмотрим

                                        Комментарий


                                        • #50
                                          Сообщение от malotavr Посмотреть сообщение
                                          ​​​​​Поэтому я и не стал бы говорить, что мобильному банкинну биометрия неинтересна.
                                          Она суперинтересна. Ибо это 10 лет назад было два устройства - компьютер, включенный в Интернет, и телефон, включенный в сотовую сеть. Эти времена прошли, теперь sms сообщения приходят с тем же успехом в компьютер через шлюз, а смартфон лазает по мобильному банку. В итоге, вместо двух факторов опять остался один. "Подключить второй", актуальнейшая проблема.

                                          Но интересна она как "средство", т.е. например сочетание:
                                          1. Trusted Identity Provider (а лучше несколько разных)
                                          2. Threat-safe exchange protocol

                                          Даже если нам вдруг внезапно ЦБ обеспечит первый пункт, то что-то мне подсказывает, что со вторым пока даже ещё ничего не начато.

                                          Азиаты, кстати, категорически против концетрации доверия/риска и вроде активно копают в сторону self-sovereign identity, но там тоже много слов, и мало решений.
                                          /kiv

                                          Комментарий


                                          • #51
                                            Сообщение от IgorL Посмотреть сообщение
                                            аутентификация по отпечатку работает уже сейчас
                                            По крайней мере, в Iphone - отпечатком просто открывается хранилище паролей; сам отпечаток ни в банке не хранится, ни в банк не передаётся. И в этой реализации есть множество мелких грабель, из-за которых технологию регулярно называют "в принципе небезопасной".

                                            /kiv

                                            Комментарий


                                            • #52
                                              Сообщение от Илюха Посмотреть сообщение
                                              По крайней мере, в Iphone - отпечатком просто открывается хранилище паролей; сам отпечаток ни в банке не хранится, ни в банк не передаётся.
                                              А в ЕБС передается голубиной почтой фотокарточка и специальнобученный человек ее сравнивает с архивной? Нет конечно! Передается результат преобразований, не фото и не сам человек. Сколько при этом будет преобразований и что именно будет передаваться вопрос больше терминологии и правильного названия. В конечном итоге будет сравнение результата этого преобразования с хранящимся.



                                              Комментарий


                                              • #53
                                                Сообщение от malotavr Посмотреть сообщение
                                                Обещанное Тиньковым "идентифицировать клиента за 15 сек разговора" - классная фишка именно для мобильного банкинга.
                                                Эта фишка давно работает и не только в ТКС, при этом никакого отношения к ЕБС эта фишка не имеет, и ни под какие ограничения не попадает.

                                                Всё, что прописано в законе(ах) касается только государственной ЕБС, эти поправки сугубо под неё разрабатывались. Где и как эта ЕБС будет использоваться -- отдельная тема.
                                                И ещё один момент, запросы к ЕБС будут платными (и очень недешевыми), встраивать это дело в мобильный банк тупо нерентабельно.

                                                Комментарий


                                                • #54
                                                  ost
                                                  предметом дискуссии была "возможность заключения кредитного договора без визита в банк". Для этого введены поправки в ряд законов, и эти поправки эту возможность фактически хоронят.

                                                  То, что биометрия банками самостоятельно используется, это совсем другая история. Тот факт, что довольно много клиентов на это соглашаются - ну так они сами себе злобные буратины. А вот легализовать эту историю под знаменем ЕБС не получится.

                                                  Согласны?

                                                  Комментарий


                                                  • #55
                                                    Del

                                                    Комментарий


                                                    • #56
                                                      Сообщение от malotavr Посмотреть сообщение
                                                      предметом дискуссии была "возможность заключения кредитного договора без визита в банк"
                                                      Заключить кредитный договор без визита в банк можно было всегда, это вообще не тема для дискуссии.
                                                      Поправки в закон касаются удаленной идентификации, т.е. относятся к теме приёма клиента на обслуживание без визита в банк (конкретнее открытие текущих и депозитных счетов без первичного посещения банка и без предварительного заключения договора о ДБО).

                                                      И, таки, всё получится, и именно под знаменем ЕБС.

                                                      Я уже писал, что будет выпущено мобильное приложение для идентификации в ЕБС, оно будет со всеми нужными СКЗИ на борту и всеми нужными сертификатами. Типа того, которое обещали сделать для отправки гражданами видеозаписей о нарушениях ПДД в ГИБДД. Вот через это приложение и можно будет идентифицироваться.

                                                      И, кстати, уже сейчас можно кое-что делать без ЕБС, используя уже работающую ЕСИА.

                                                      Комментарий


                                                      • #57
                                                        Сообщение от ost Посмотреть сообщение
                                                        ...оно будет со всеми нужными СКЗИ на борту и всеми нужными сертификатами.
                                                        1. Требований к техничеаким средствам биометрической идентификации нет.
                                                        2. Системы сертификации на соответствие этим требованиям нет
                                                        3. Регулятор, отвечающий за п. 1 и 2 не назначен.

                                                        В таких условиях я не готов принять на веру процитированное утверждение Посмотрим, кого назначат регулятором, ну а дальше ситуация будет постепенно проясняться. Возможно, у вас на эту тему больше инсайда (я этой темой совсем не занимаюсь), но сами понимаете, "доверяй, но проверяй"

                                                        Комментарий


                                                        • #58
                                                          Сообщение от malotavr Посмотреть сообщение
                                                          1. Требований к техничеаким средствам биометрической идентификации нет. 2. Системы сертификации на соответствие этим требованиям нет 3. Регулятор, отвечающий за п. 1 и 2 не назначен.
                                                          Тут есть государственный интерес, так что всё сделают и сделают быстро.
                                                          Поправки в законы готовились заинтересованными структурами, так что там всё на мази.

                                                          И да, про сертифицированные средства было сделано не случайно, а с умыслом, чтобы "никто кроме нас".

                                                          Комментарий


                                                          • #59
                                                            Сообщение от IgorL Посмотреть сообщение
                                                            А в ЕБС передается голубиной почтой фотокарточка и специальнобученный человек ее сравнивает с архивной? Нет конечно! Передается результат преобразований, не фото и не сам человек. Сколько при этом будет преобразований и что именно будет передаваться вопрос больше терминологии и правильного названия. В конечном итоге будет сравнение результата этого преобразования с хранящимся.
                                                            Понимаете ли, банку при "удаленном банкинге" нужна не столько идентификация клиента, сколько авторизация операций (т.е. подтверждение того, что именно данная конкретная операция определенно одобрена именно этим, определенным лицом). В частности, "запись разговора с клиентом" это "сравнительно неплохое" доказательство того, что именно этот человек утверждал то, о чём шла речь в ходе разговора. Но увы, не "достаточно хорошее": в частности, потому что "идентификация голоса по телефону" задача не очень надёжно решаемая, но не только.

                                                            Т.е. нужно чтобы "банк" передал "приложению с биометрией" существенные параметры сделки, приложение эти параметры точно показало на экране, затем по нажатию определенной кнопки её подписало с использованием стойкой функции, при этом однозначно связало с персоной, ранее идентифицированной в том же банке (да, вот тут наконец появилась идентификация), и отправило обратно в банк. См. AGSES, к примеру (да, в ней нет показа операции, и это уязвимость: "человек не знает что он подписал" -- отредактировано: нет, я ошибся, теоретически там можно показать сообщение, практически я видел только какой-то невразумительный код; банк называть не буду).
                                                            И это вопросы к той криптографии, которая внутри приложения; к дизайну самого приложения; к той надежности биометрии, которой открывается keychain приложения, к той операционной среде, в которой функционирует приложение, наконец.

                                                            А то, что у банка (или допустим в ЕСИА) хранится (сколь угодно псевдонимизированный) набор биометрии, вообще никак не относится к этой надобности. "Хранение у себя биометрии" защищает от предъявления поддельного паспорта, при личном визите. См. например отпечатки пальцев при визитах в еврозону.
                                                            Последний раз редактировалось Илюха; 02.02.2018, 08:13.
                                                            /kiv

                                                            Комментарий


                                                            • #60
                                                              Сообщение от IgorL Посмотреть сообщение
                                                              На "карту" нельзя выдать, она банку принадлежит, деньги на счету, на "карте" нет их. То что МФО делает перевод P2P по номеру карты для банка не вариант вообще.
                                                              JFYI. Счет не обязан быть текущим/расчетным, в частности для схемы "выдача на карту через МФО без визита в банк" используются 40903 "электронные деньги".

                                                              И разумеется там нет 455 счетов; там сперва кредит выдает МФО (40701 свой - 40903 свой и 40903 свой - 40903 клиента), а потом продает этот кредит банку (47802-40701).
                                                              /kiv

                                                              Комментарий

                                                              Обработка...
                                                              X