19 июля, пятница 08:40
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Добрый день, уважаемые коллеги! Хотелось бы уточнить правильность понимания следующего момента. На сайте Банка России в разделе Финтех есть "Карта точек банковского обслуживания, где можно сдать биометрию". Как Вы полагаете, актуализацией указанной Карты ЦБ занимается сам на основании информации, которую банки раскрывают на своих сайтах согласно требованиям 4836-У? Или такую информацию в ЦБ нужно направить (хотя такого требования нигде не нашла)?

    Комментарий


    • Сообщение от LNV Посмотреть сообщение
      Как Вы полагаете, актуализацией указанной Карты ЦБ занимается сам на основании информации, которую банки раскрывают на своих сайтах согласно требованиям 4836-У? Или такую информацию в ЦБ нужно направить (хотя такого требования нигде не нашла)?
      Это делается на основании сведений, которые подаёт банк Оператору ЕБС. Формат и порядок передачи запросите у них самих. Т.е. на био.рт.ру есть адрес саппорта, который надо подёргать по этому поводу. Они предоставят вам формат и порядок передачи.
      Но то, что это не отражено в регламентах - странно.
      Может с очередным изменением Методических рекомендаций это там появится

      Комментарий


      • Сообщение от Массаракш Посмотреть сообщение
        А можно почитать в каких доках это указано?
        К сожалению - нельзя.
        Это указано только в ТЗ на разработку этих компонент. ТЗ на согласовании в 8-м центре ФСБ. Соответственно это документ ДСП.
        А, стесняюсь спросить, Вам оно зачем?
        Мы просто говорим, что будет 2 решения.
        Исполнение 1 и Исполнение 2.
        Первое - только для регистрации.
        Второе - только для реализации OpenID Connect в виде, который сможет пройти сертифицикацию. Т.е. это компонент для УБИ. ВСЕМ не нужен.

        По Исполнению 1 мы получили заключение Лаборатории на корректность встраивания.
        По Исполнению 2 - ведутся архитектурные разработки. Там всё сложно... Надо в КВ запихнуть обмен с конечным пользователем... Пытаемся как-то придумать схему, когда системы ДБО ещё будут нужны

        Комментарий


        • Сообщение от Андрей Федорец Посмотреть сообщение

          А, стесняюсь спросить, Вам оно зачем?
          Мы просто говорим, что будет 2 решения.
          Исполнение 1 и Исполнение 2.
          Первое - только для регистрации.
          Второе - только для реализации OpenID Connect в виде, который сможет пройти сертифицикацию. Т.е. это компонент для УБИ. ВСЕМ не нужен.

          По Исполнению 1 мы получили заключение Лаборатории на корректность встраивания.
          По Исполнению 2 - ведутся архитектурные разработки. Там всё сложно... Надо в КВ запихнуть обмен с конечным пользователем... Пытаемся как-то придумать схему, когда системы ДБО ещё будут нужны

          Просто фраза "исполнение 1" и "исполнение 2" ассоциируется с аналогичными фразами из формуляра на СКЗИ, где исполнение 1 - КС1. исполнение 2 - КС2 и т.д.
          А наш подрядчик дает нам решение в виде отдельных модулей.
          Смутила чисто игра слов.

          Комментарий


          • Сообщение от Андрей Федорец Посмотреть сообщение
            ......Мы просто говорим, что будет 2 решения. Исполнение 1 и Исполнение 2.
            Первое - только для регистрации.
            Второе - только для реализации OpenID Connect в виде, который сможет пройти сертифицикацию. Т.е. это компонент для УБИ. ВСЕМ не нужен....
            А тем, кто планирует и регистрировать БО, и привлекать новых клиентов, используя УБИ, нужно будет приобретать оба решения?
            И если, да, то как это будет выглядеть в виде общей архитектуры, цены, кол-ва HSM и всего остального?

            Сообщение от Андрей Федорец Посмотреть сообщение
            ......Пытаемся как-то придумать схему, когда системы ДБО ещё будут нужны
            А в чем собственно проблема? В стандартной схеме, после того, как физик прошел идентификацию, у него появляется возможность пользоваться банковскими услугами, включая ДБО. Насколько я понимаю, при использовании ЕБС, появляется возможность идентифицировать потенциального клиента удаленно, а всё остальное остается без изменений.
            Т.е. после того, как идентифицировался (неважно, каким способом), клиент получает возможность использования имеющегося ДБО.
            В этом и заключается, наверное, основной смысл от внедрения ЕБС, что со временем можно будет предложить физикам и не только банковские услуги...

            Сообщение от MadAlex Посмотреть сообщение
            Вообще, меня глубоко удивляет, как регулятор вообще согласился на схему с мобильным приложением. Когда столько лет различным продуктам, реализующим на мобильных устройствах средства ЭП и другие механизмы ЗИ, выставлялись довольно высокие требования, которые крайне сложно было удовлетворить (многие и не смогли).
            А тут - бац! И на смартфонах, в классически недоверенной и неконтролируемой среде предполагается использовать приложение для УБИ. Без определённого нажима извне такие смены курса редко происходят.
            Ну вот, например, если почитать некоторые тематические каналы в телеге, идея предоставления услуги связи после прохождения УБИ может быть очень даже востребована. Фактически, единственный вопрос, который возникает - потянут ли современные мобильники всё это, или еще нужно немного подождать...

            Сообщение от Андрей Федорец Посмотреть сообщение
            Ненене. Инициатива была от нескольких банков, а НСФР тама как организация, оказывающая юридическую поддеркжу........Коллеги решили снизить издержки на идентификацию, но там подключились ЦБ и ФСБ.
            и что-то мне подсказывает. что это просто очередная "инициатива от нескольких банков", сделанная по очередной просьбе того или иного регулятора...
            Последний раз редактировалось saches; 10.01.2019, 15:19.

            Комментарий


            • Подскажите пожалуйста как быть с отчетом 0409604, если мы не начали сбор биометрических данных, то отправляем пустую форму? и еще кто у вас будет отвечать за заполнение данной формы, подразделения осуществляющие сбор данных или легализаторы?
              в 173-Т слово комплаенс встречается 206 раз.

              Комментарий


              • Сообщение от saches Посмотреть сообщение
                Т.е. после того, как идентифицировался (неважно, каким способом), клиент получает возможность использования имеющегося ДБО.
                А пока что вот так ПБ предлагает поступать (https://www.pochtabank.ru/service/ebs) -

                Нажмите на изображение для увеличения. 

Название:	PB-EBS.jpg 
Просмотров:	1 
Размер:	554.2 Кб 
ID:	4869901

                WBR, Александр Турчин

                Комментарий


                • Сообщение от Александр_Турчин Посмотреть сообщение
                  А пока что вот так ПБ предлагает поступать (https://www.pochtabank.ru/service/ebs) ....
                  Особенно интересно, как они реализовывают в своем ДБО п.4. - Пройдите процедуру сбора биометрических данных....
                  Насколько я представляю, всё равно придется идти в банк снимать БО.
                  А возможность предварительно зарегится в ДБО, что для физиков, что для юриков, у отдельных банков появилась, наверное, уж лет 10 назад, если не больше...

                  Комментарий


                  • Сообщение от saches Посмотреть сообщение
                    Сообщение от Александр_Турчин Посмотреть сообщение А пока что вот так ПБ предлагает поступать (https://www.pochtabank.ru/service/ebs) .... Особенно интересно, как они реализовывают в своем ДБО п.4. - Пройдите процедуру сбора биометрических данных.... Насколько я представляю, всё равно придется идти в банк снимать БО. А возможность предварительно зарегится в ДБО, что для физиков, что для юриков, у отдельных банков появилась, наверное, уж лет 10 назад, если не больше...
                    Чисто теоретически на шаге 4 должно быть предложено идентифицироваться в ЕБС.
                    Иначе смысл ЕБС - открытия счета без визита в офис банка - теряется.
                    См. https://events.webinar.ru/1654045/17...rd-new/1760267 Time 01:39:06

                    Комментарий


                    • Сообщение от Массаракш Посмотреть сообщение
                      Иначе смысл ЕБС - открытия счета без визита в офис банка - теряется.
                      Ну а как бы китайцы, например, видят смысл биометрии в другом https://hellochina.me/956/internet-v...navaniya-lits/.
                      А у нас по нынешним порядкам, получается, в каждую точку оплаты надо HSM поставить?

                      WBR, Александр Турчин

                      Комментарий


                      • Сообщение от Александр_Турчин Посмотреть сообщение
                        У меня тоже на смарте стоит распознавание по лицу и есть GooglePay( правда пока с отпечатком). Получается я уже провожу оплату с использованием биометрии без всякой ЕБС
                        Чисто технически, конечно, это не так.

                        Комментарий


                        • Сообщение от Александр_Турчин Посмотреть сообщение
                          Ну а как бы китайцы, например, видят смысл биометрии в другом https://hellochina.me/956/internet-v...navaniya-lits/.
                          Но тут же речь о проведении платежа. Т.е. лицо физика становится средством доступа к уже открытому счету в неком банке или ПС. И вместо, платежной карты, достаточно приложить лицо. И, не факт, что зарегавшись в одном банке, по этому БО можно открыть счет и получить услуги в другом.

                          Сообщение от Александр_Турчин Посмотреть сообщение
                          А у нас по нынешним порядкам, получается, в каждую точку оплаты надо HSM поставить?
                          Да ладно! У нас что, есть банки, которые вместо ПОСа в каждый ларек целиком процессинг вкорячивают? Или хотя бы HSM?
                          Т.е., если исходить из логики уже действующей нормативки, возможно, что достаточно будет КС1 на устройстве клиента или КС2/КС3 на остальном. Хотя, конечно, возможны варианты...

                          А если оценивать вариант использования биометрии в контексте одного банка для предоставления платежных услуг, то это ПП-1119, 21 приказ ФСТЭК и 378 ФСБ, и далеко не факт, что вообще потребуется что-то типа HSM, но на защиту каналов до банкоматов потратиться придется, если конечно на полноценную проверку от ФСБ рассчитывать.
                          Последний раз редактировалось saches; 10.01.2019, 20:12.

                          Комментарий


                          • Сообщение от saches Посмотреть сообщение
                            Особенно интересно, как они реализовывают в своем ДБО п.4. - Пройдите процедуру сбора биометрических данных....
                            Просто маркетолог у них не разбирается в биометрии - ему что сбор, что идентификация, один фиг биометрия. Скорее всего, там имеется в виду "4. Пройдите удаленную идентификацию с использованием камеры и микрофона".

                            Комментарий


                            • Сообщение от saches Посмотреть сообщение
                              Особенно интересно, как они реализовывают в своем ДБО п.4. - Пройдите процедуру сбора биометрических данных....
                              Ну конечно. П.4 в ПБ работает, если ФЛ в любом другом банке прошел процедуру регистрации БО в ЕБС.

                              Комментарий


                              • Сообщение от saches Посмотреть сообщение
                                А в чем собственно проблема? В стандартной схеме, после того, как физик прошел идентификацию, у него появляется возможность пользоваться банковскими услугами, включая ДБО. Насколько я понимаю, при использовании ЕБС, появляется возможность идентифицировать потенциального клиента удаленно, а всё остальное остается без изменений.
                                Та не. Просто если мы реализуем обмен по OpenID Connect в АйДиБанк, то по другим модулям мы имеем интеграцию по всем счетам клиентов.
                                А то плюс это равно наша ДБО на открытом ИПП (API) с уже реализованными кусками в ваших информационных системах...

                                Даём стране маркетплейсы?!

                                Комментарий


                                • Сообщение от Андрей Федорец Посмотреть сообщение
                                  .....Мы просто говорим, что будет 2 решения. Исполнение 1 и Исполнение 2.
                                  Первое - только для регистрации.
                                  Второе - только для реализации OpenID Connect в виде, который сможет пройти сертифицикацию. Т.е. это компонент для УБИ. ВСЕМ не нужен.
                                  Ну, а на уже заданный вопрос о варианте закупки обоих решений, имеет смысл ждать ответа?
                                  Последний раз редактировалось saches; 11.01.2019, 11:50.

                                  Комментарий


                                  • Сообщение от saches Посмотреть сообщение
                                    Ну, а на уже заданный вопрос о варианте закупки обоих решений, имеет смысл ждать ответа?
                                    post@id-sys.ru
                                    Какой ещё ответ могу дать?
                                    Ну или менеджеру вашему, если знаете, задайте этот вопрос.
                                    Я ж тока генеральный, а не директор по продажам

                                    Комментарий


                                    • Сообщение от Андрей Федорец Посмотреть сообщение
                                      post@id-sys.ruКакой ещё ответ могу дать?Ну или менеджеру вашему, если знаете, задайте этот вопрос.Я ж тока генеральный, а не директор по продажам
                                      Ожидаемо, к сожалению...

                                      Комментарий


                                      • Сообщение от saches Посмотреть сообщение
                                        Но тут же речь о проведении платежа. Т.е. лицо физика становится средством доступа к уже открытому счету в неком банке или ПС. И вместо, платежной карты, достаточно приложить лицо. И, не факт, что зарегавшись в одном банке, по этому БО можно открыть счет и получить услуги в другом.
                                        Вы ошибаетесь. БО как раз и нужен для открытия счёта в банке без личной явки (п. 5.8 ст. 7 115-ФЗ).
                                        А подтверждать платежи мордой лица, оно конечно можно, но слишком накладно будет платить 200 руб комиссии РТК за каждую операцию. У меня средняя покупка 300 руб, если сверх этого ещё по 200 Ростелекому отстёгивать, то так и разориться можно.

                                        Комментарий


                                        • Коллеги, возможно глупый вопрос, но подскажите на кого из сотрудников вы выпускаете КВ2 сертификат? Мне так видится, что на начальника департамента, сотрудники которого будут собирать БО, но как-то немного терзают сомнения. Разъяснений по этому поводу не нашел

                                          Комментарий


                                          • Сообщение от ost Посмотреть сообщение
                                            Вы ошибаетесь. БО как раз и нужен для открытия счёта в банке без личной явки (п. 5.8 ст. 7 115-ФЗ)....
                                            Так это ж я про Китай писал! Вы ссылку смотрели?

                                            Комментарий


                                            • Сообщение от randvell Посмотреть сообщение
                                              Коллеги, возможно глупый вопрос, но подскажите на кого из сотрудников вы выпускаете КВ2 сертификат? Мне так видится, что на начальника департамента, сотрудники которого будут собирать БО, но как-то немного терзают сомнения. Разъяснений по этому поводу не нашел
                                              На себя буду делать. Пока.
                                              А через год, как всё устаканится, видно будет.

                                              Комментарий


                                              • Сообщение от Андрей Федорец Посмотреть сообщение
                                                ...... для реализации OpenID Connect в виде, который сможет пройти сертифицикацию. ...
                                                А можно по подробней. что под этим подразумевается?
                                                Если не ошибаюсь - OpenID Connect (OIDC) is an authentication layer on top of OAuth 2.0, an authorization framework.[1] The standard is controlled by the OpenID Foundation. ( https://en.wikipedia.org/wiki/OpenID_Connect )

                                                Т.е. как и кто будет сертифицировать "протокол" аутентификации внутри которого, вроде как, используются западные криптоалгоритмы?
                                                Последний раз редактировалось saches; 14.01.2019, 13:56.

                                                Комментарий


                                                • Сообщение от Андрей Федорец Посмотреть сообщение
                                                  .....По Исполнению 1 мы получили заключение Лаборатории на корректность встраивания.
                                                  Инф.письмо с выводами для АйДиСистемс.pdf

                                                  Если судить по предоставленному документу, заключение КриптоПро конечно подтверждает корректность встраивания, но, в то же время, в документе отсутствует какая-либо ссылка на выписку из заключения ФСБ. Решили не заморачиваться?

                                                  Комментарий


                                                  • Сообщение от saches Посмотреть сообщение
                                                    отсутствует какая-либо ссылка на выписку из заключения ФСБ
                                                    Оно разве должно быть? ЕМНИП, сам производитель СКЗИ делает заключение.

                                                    Комментарий


                                                    • Сообщение от ost Посмотреть сообщение
                                                      Оно разве должно быть? ЕМНИП, сам производитель СКЗИ делает заключение.
                                                      В соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утвержденным приказом ФСБ России от 09.02.2005 № 66 (далее - Положение ПКЗ-2005), оценка влияния аппаратных, программно- аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований осуществляется разработчиком СКЗИ совместно со специализированной организацией.
                                                      Результаты исследований оценки влияния аппаратных, программно- аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований, а также опытные образцы СКЗИ и аппаратные, программно-аппаратные и программные средства, необходимые для штатного функционирования СКЗИ, передаются в ФСБ России для проведения экспертизы, по итогам которой утверждается заключение ФСБ России по результатам оценки влияния.


                                                      http://www.fsb.ru/fsb/science/single...searchart.html

                                                      Комментарий


                                                      • Сообщение от saches Посмотреть сообщение
                                                        А можно по подробней. что под этим подразумевается?
                                                        Если не ошибаюсь - OpenID Connect (OIDC) is an authentication layer on top of OAuth 2.0, an authorization framework.[1] The standard is controlled by the OpenID Foundation. ( https://en.wikipedia.org/wiki/OpenID_Connect )

                                                        Т.е. как и кто будет сертифицировать "протокол" аутентификации внутри которого, вроде как, используются западные криптоалгоритмы?
                                                        Для использования в ЕБС, этот протокол адаптируется и согласовывается с ФСБ. Этим занимается Ростелеком, как оператор ЕБС.
                                                        Собственно, в рамках ТИ ФСБ будет проверять корректность и безопасность реализации этого адаптированного протокола.

                                                        Комментарий


                                                        • Сообщение от ost Посмотреть сообщение

                                                          Оно разве должно быть? ЕМНИП, сам производитель СКЗИ делает заключение.
                                                          Заключение делает аккредитованная организация (лаборатория). В случае с Крипто-ПРО, вендор является одновременно и экспертом, дающим оценку.
                                                          Далее, ФСБ будет опираться на такую экспертную оценку.

                                                          Финальное заключение, конечно, за ФСБ.

                                                          Комментарий


                                                          • Сообщение от MadAlex Посмотреть сообщение
                                                            Для использования в ЕБС, этот протокол адаптируется и согласовывается с ФСБ. Этим занимается Ростелеком, как оператор ЕБС.....
                                                            А какая-либо финальная спека (или стандарт) адаптированного и согласованного с ФСБ протокола будет доступна? И, если да, то когда примерно?

                                                            Сообщение от MadAlex Посмотреть сообщение
                                                            .......Собственно, в рамках ТИ ФСБ будет проверять корректность и безопасность реализации этого адаптированного протокола.
                                                            Т.е. результатом будет сертификат? И насколько это обязательное требование со стороны оператора ЕБС или иных регуляторов - проведение ТИ для реализации OIDС?
                                                            Последний раз редактировалось saches; 14.01.2019, 15:27.

                                                            Комментарий


                                                            • Сообщение от saches Посмотреть сообщение
                                                              А какая-либо финальная спека (или стандарт) адаптированного и согласованного с ФСБ протокола будет доступна? И, если да, то когда примерно?
                                                              Должна быть. Правда, не знаю точно, как будет организован доступ к этому документу. Могут сделать доступ только для лицензиатов.


                                                              Сообщение от saches Посмотреть сообщение
                                                              Т.е. результатом будет сертификат? И насколько это обязательное требование со стороны оператора ЕБС или иных регуляторов - проведение ТИ для реализации OIDС?
                                                              Не каждое ТИ заканчивается сертификатом. Например, несколько лет назад ФСБ стало выдавать сертификата только на функционально-законченные СКЗИ, а для ПБ СКЗИ (программных библиотек, предназначенных для дальнейшего встраивания и последующей сертификации в рамках другого СКЗИ) ограничивалось Положительными заключениями.
                                                              В НПА по ЕБС говорится о прохождении ТИ, а не о сертификации. Возможно, Положительного заключения будет достаточно.
                                                              Поживём - увидим.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X