15 ноября, четверг 17:35
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

ДБО для физических лиц. Юридический вопрос.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • ДБО для физических лиц. Юридический вопрос.

    Доброго всем времени суток.

    Такая ситуация:

    Для юриков мы используем сертифицированное ср-во ЭЦП Крипто-про. (ФЗ-1) - с этим проблем нет.

    Внедряется система ДБО для физических лиц.
    Мы знаем, что в использовании ЭЦП для клиентов нет необходимости. Для физиков будем брать SSL.

    Вопрос: Где в законодательстве прописано, что для юриков надо сертифицированное ЭЦП, а для физиков не надо?
    Большое спасибо.

  • #2
    Сообщение от sdimaa Посмотреть сообщение
    Вопрос: Где в законодательстве прописано, что для юриков надо сертифицированное ЭЦП, а для физиков не надо?
    Нигде, более того - это утверждение неверно. Подробный анализ делать не буду - номера положений не помню, но вы их легко найдете сами.

    В ДБО основная пролема - с платежными поручениями.
    Платежи юр.лиц и физ. лиц регулируютя двумя положениями ЦБ, но второе ссылается на первое и существенныъ отличий в контексте заданного вопроса не содержит. Основной затык заключается в том, что платежное поручение должно содержать подпись плательщика.

    ГК допускает использование аналогов собственноручной подписи, и для регулирования вопросов АСП ЦБ принял временное положение 17-П об использовании АСП в электронных платежах. Положение действует, никакой конкретики не одержит и позволяет использовать в качестве АСП все, что угодно. Условия имспользования АСП одинаковы и для физ. лиц, и для юр. лиц.

    Использование сертифицированных СКЗИ для юриков обусловлено тремя причинами:
    1. Для организаци ДБО для юриков, как правило, используется серийно выпускаемый софт, а разработчики такого софта изначально затачивались на использование сертифицированной криптографии
    2. У юриков большой объем платежей, и банки стараются всячески минимизировать риски отказа от платежа, выбирая наименее рискованные в плане неотрекаемости аналоги собственноручной подписи
    3. В силу п. 2 банк не особенно напрягается стоимостью СКЗИ (2400 р. за экземпляр в случае КриптоПро CSP 2.0). Или перекладывает эти затраты на клиента, который тоже не сильно напрягается.

    С физиками ситуация иная:
    1. За 2400 р. физик отправит банк в пешеходный маршрут с эротическим уклоном, а суммарная стоимоть лицензий с учетом количества физиков исчисляетя деятками миллионов рублей.
    2. Платежи у физиков небольшие, а вероятность того, что физик пойдет в суд оспаривать платеж - минимальна. Поэтому риск отказа от сделанного платежа банк особенно не волнует
    3. В отличие от юрика, физик хочет иметь возможность отправить платеж с любого компа, хотя на практике такой возможностью практически не пользуется.
    4. Многие банки используют самописные системы Интернет-банкинга и в силу п. 1-3 не заморачиваются встраиванием сертифицированной криптографии.

    Поэтому вопрос использования сертифицированных СКЗИ ставит перед банком дилемму:
    - использование сертифицированных СКЗИ создает банку значительный конкурентный недостаток
    - отказ от использования сертифицированных СКЗИ создает необходимость использования других вилдов АСП.

    Поэтому банки либо придумывают альтернативные АСП, проявляя недюжинную фантазию (заявляя, например, что пароль пользователя является аналогом его собственоручной подписи), либоо вообще не используют АСП, сознательно идя на риск, связанный с нарушением норм ГК.

    Комментарий


    • #3
      Сообщение от malotavr Посмотреть сообщение
      Поэтому банки либо придумывают альтернативные АСП, проявляя недюжинную фантазию (заявляя, например, что пароль пользователя является аналогом его собственоручной подписи), либоо вообще не используют АСП, сознательно идя на риск, связанный с нарушением норм ГК.
      Это не в сторону PIN-кода к банковской карте камень? Интересна Ваша позиция относительно легитимности платёжных поручений через банкомат (например, банальное снятие наличных).

      Комментарий


      • #4
        Сообщение от SAndreyV Посмотреть сообщение
        Это не в сторону PIN-кода к банковской карте камень? Интересна Ваша позиция относительно легитимности платёжных поручений через банкомат (например, банальное снятие наличных).
        Нет - имелся в виду именно пароль к системам Интернет-бенк некоторых банков.

        Насчет банкоматов:
        1. Снятие налличных - не платеж, и АСП в данном случае не ребуется.
        2. Использование PIN (как и использования пароля), в принципе, можно представить как аналог собственноручной подписи - положение 17-П это допускает. Поэтому вопрос о легитимности тех или иных технических решений сводится к вопросу о том, выполнены ли формально треования 17-П.

        Комментарий


        • #5
          Сообщение от malotavr Посмотреть сообщение
          номера положений не помню, но вы их легко найдете сами.
          Имелись в виду положения 2-П и 222-П.

          Комментарий


          • #6
            Сообщение от malotavr Посмотреть сообщение
            1. Снятие налличных - не платеж, и АСП в данном случае не ребуется.
            Я именно поэтому и написал "например". Например, второй пример - это перевод на банкомате со счёта на счёт (по номеру карты или счёта). Третий пример - это платёж за кредит через банкоматное меню. Четвёртый - ...

            Поэтому и интересует данный вопрос.

            Комментарий


            • #7
              Сообщение от SAndreyV Посмотреть сообщение
              Я именно поэтому и написал "например". Например, второй пример - это перевод на банкомате со счёта на счёт (по номеру карты или счёта). Третий пример - это платёж за кредит через банкоматное меню. Четвёртый - ...

              Поэтому и интересует данный вопрос.
              Мне кажется, я ответил:
              2. Использование PIN (как и использования пароля), в принципе, можно представить как аналог собственноручной подписи - положение 17-П это допускает. Поэтому вопрос о легитимности тех или иных технических решений сводится к вопросу о том, выполнены ли формально треования 17-П.

              Комментарий


              • #8
                Спасибо.

                Комментарий


                • #9
                  malotavr, благодарю за номера положений. несмотря на отсутствие в них конкретики, интересующее меня дело сдвинулось с мертвой точки.

                  Комментарий


                  • #10
                    Основным документом тут является Положение 17-П.
                    Берём оттуда п.1.7 и на его основе прописываем в договоре порядок признания АСП.
                    Затем берём п.3.6 и прописываем в договоре, что ЭЦП (КриптоПро, PGP, PIN-код или что там ещё можно придёмать), имеющие параметры (номер сертификата, пароль и т.д.), и средства его проверки признаются средством проверки правильности АСП.
                    Затем берём п.3.7 и на основе его состаявляем соответствующий акт.

                    Я тут пару месяцев назад выкладывал образец договора с таким подходом.

                    P.S. Правда есть ещё п.7.7.2 Стандарта ИББС-1.0, который говорит, что СКЗИ должны быть сертифицированы.
                    Последний раз редактировалось Berckut; 29.03.2010, 06:23.

                    Комментарий


                    • #11
                      Сообщение от Berckut Посмотреть сообщение
                      P.S. Правда есть ещё п.7.7.2 Стандарта ИББС-1.0, который говорит, что СКЗИ должны быть сертифицированы.
                      Не-а

                      СКЗИ должны быть сертифицированы уполномоченным государственным органом, либо иметь разрешение ФСБ России..
                      Все программные продукты, болванки с дистрибутивами которых пересекают таможенную границу РФ, имеют указанное разрешение. Плюс такое же разрешение имеют все операционные системы, кассовые аппараты, банкоматы и т.п.

                      Комментарий


                      • #12
                        Сообщение от malotavr Посмотреть сообщение
                        Не-а
                        Это не в неутверждённой версии стандарта. Там даже многоточие стоит

                        Но я всёравно не прав. Не дозапомнил до конца. Сейчас это звучит так:
                        СКЗИ должны быть сертифицированы уполномоченным государственным органом, либо реализованы на основе рекомендованных уполномоченным государственным органом алгоритмов либо алгоритмов, определенных условиями договора с контрагентом (клиентом) организации БС РФ, либо соответствовать стандартам организации, взаимодействующей с организацией БС РФ.

                        Комментарий


                        • #13
                          Не забывайте только, что круг аналогов собственноручной подписи не ограничивается одной только электронной подписью.
                          В ритейле нашего банка используются таблицы одноразовых ключей как один из способов авторизации платежа. Доля клиентов, пользующихся ЭЦП, невелика, так как клиенту проще получить в банке закрытую стирающимся слоем карточку с одноразовыми ключами, чем париться с установкой СКЗИ, получением сертификата и т.д.

                          Комментарий


                          • #14
                            Тоже столкнулся с подобной темой - дбо с физиками без эцп. У меня затык в определении АСП. По 17-п асп явл. контрольным параметром правильности составления всех обязательных реквизитов и их неизменности. Как можно в договоре признать аналогом то, что по определению им не является?

                            Комментарий


                            • #15
                              Мне кажется, что правильнее подходить к решению проблемы со стороны 266-П.

                              реестр платежей по операциям с использованием платежных карт (далее - реестр платежей) - документ или совокупность документов, содержащих информацию об операциях, совершаемых с использованием платежных карт за определенный период времени, составленных юридическим лицом или его структурным подразделением, осуществляющим сбор, обработку и рассылку участникам расчетов - кредитным организациям информации по операциям с платежными картами (процессинговый центр), и предоставляемых в электронной форме и (или) на бумажном носителе;
                              электронный журнал - документ или совокупность документов в электронной форме, сформированные за определенный период времени при совершении операций с использованием банкомата и (или) электронного терминала.

                              ....

                              1.11. Внутрибанковские правила утверждаются органом управления кредитной организации, уполномоченным на это ее уставом, и должны быть обязательны для всех сотрудников кредитной организации. Внутрибанковские правила в зависимости от особенностей деятельности кредитной организации должны содержать:
                              порядок деятельности кредитной организации, связанной с эмиссией банковских карт;
                              порядок деятельности кредитной организации, связанной с эквайрингом платежных карт;
                              порядок деятельности кредитной организации, связанной с распространением платежных карт;
                              порядок деятельности кредитной организации при осуществлении расчетов по операциям, совершаемым с использованием платежных карт;
                              систему управления рисками при осуществлении операций с использованием платежных карт, включая порядок оценки кредитного риска, а также предотвращения рисков при использовании кодов, паролей в качестве аналога собственноручной подписи (далее - АСП), в том числе при обработке и фиксировании результатов проверки таких кодов, паролей;
                              (в ред. Указания ЦБ РФ от 23.09.2008 N 2073-У)
                              порядок действий кредитной организации в случае утраты держателем платежных карт;
                              описание документооборота и технологии обработки учетной информации по операциям, совершаемым с использованием платежных карт;
                              порядок хранения платежных карт до процедуры персонализации (далее - неперсонализированные платежные карты), приобретенных кредитной организацией и содержащих реквизиты (наименование эмитента и др.), платежных карт после процедуры персонализации, а также утвержденный список должностных лиц, ответственных за их хранение; порядок перемещения неперсонализированных платежных карт в пределах кредитной организации и передачи их на персонализацию;
                              порядок предоставления денежных средств клиенту в валюте Российской Федерации и в иностранной валюте для расчетов по операциям, совершаемым с использованием расчетных (дебетовых) карт, кредитных карт, и порядок возврата указанных денежных средств, а также порядок начисления процентов на суммы предоставленных денежных средств и порядок уплаты их клиентом в соответствии с законодательством Российской Федерации, в том числе нормативными актами Банка России и настоящим Положением;
                              (в ред. Указания ЦБ РФ от 21.09.2006 N 1725-У)
                              другие процедуры, регулирующие вопросы проведения расчетов по операциям, совершаемым с использованием платежных карт.
                              1.12. Клиент совершает операции с использованием расчетных (дебетовых) карт, кредитных карт по банковскому счету (далее - соответственно счет физического лица, индивидуального предпринимателя, юридического лица), открытому на основании договора банковского счета, предусматривающего совершение операций с использованием расчетных (дебетовых) карт, кредитных карт, заключаемого в соответствии с требованиями законодательства Российской Федерации (далее - договор банковского счета).
                              (в ред. Указания ЦБ РФ от 21.09.2006 N 1725-У)


                              ....

                              2.9. Основанием для составления расчетных и иных документов для отражения сумм операций, совершаемых с использованием платежных карт, в бухгалтерском учете участников расчетов является реестр платежей или электронный журнал.
                              Списание или зачисление денежных средств по операциям, совершаемым с использованием платежных карт, осуществляется не позднее рабочего дня, следующего за днем поступления в кредитную организацию реестра платежей или электронного журнала.
                              В случае если реестр платежей или электронный журнал поступают в кредитную организацию - эмитент (кредитную организацию - эквайрер) до дня, предшествующего дню списания или зачисления денежных средств с корреспондентского счета кредитной организации - эмитента (кредитной организации - эквайрера), открытого в кредитной организации, осуществляющей взаиморасчеты между участниками расчетов по операциям с использованием платежных карт (расчетном агенте), или дню поступления денежных средств, вносимых для расчетов с использованием предоплаченной карты, то расчеты по операциям, совершаемым с использованием платежных карт, являются незавершенными до указанного момента со дня поступления реестра платежей или электронного журнала.
                              2.10. Клиенты могут осуществлять операции с использованием платежной карты посредством кодов, паролей в рамках процедур их ввода, применяемых в качестве АСП и установленных кредитными организациями в договорах с клиентами.
                              (п. 2.10 введен Указанием ЦБ РФ от 23.09.2008 N 2073-У)
                              Как напишете в своих правилах, так и будет.

                              Комментарий


                              • #16
                                >>Мне кажется, что правильнее подходить к решению проблемы со стороны 266-П.

                                Вопрос был о ДБО, а 266-п о пластиках.

                                Комментарий


                                • #17
                                  >> Вопрос был о ДБО, а 266-п о пластиках.

                                  Кто мешает сделать ДБО только для карточных счетов?

                                  Мне кажется, что реализация ДБО без ЭЦП никак не укладывается в правовое поле 222-П и 17-П. Можно притягивать за уши и скрэтч карты и SMS, но это всё не решает вопроса с неизменностью поручения клиента. Методы многофакторной аутентификации не решают вопросы контроля целостности и защиты от изменений документа.

                                  Комментарий


                                  • #18
                                    Чтобы применение АСП не утыкалось в вопрос неизменности содержания платежного документа, можно посмотреть на определение участника документооборота из п. 1.6 положения 17-Т:
                                    "Участник документооборота - i>юридическое лицо/i> (кредитная организация либо клиент кредитной организации), составляющее платежные документы и подписывающее их своим АСП или получающее платежные документы, подписанные АСП, и использующее средства проверки АСП."
                                    То есть, если АСП применяется в ДБО для юридических лиц, выполнение условие подтверждения неизменности содержания платежного документа обязательно.
                                    Для физических лиц данное условие не обязательно в силу указанного выше определения.

                                    Комментарий


                                    • #19
                                      Сообщение от СОВИТ Посмотреть сообщение
                                      Для физических лиц данное условие не обязательно в силу указанного выше определения.
                                      Я бы ещё согласился с тем, что 17-П не применимо к физ.лицам, хотя в 222-П есть ссылка на нормативные документы БР, а единственным нд БР по АСП является 17-П.

                                      Но вот с тем, что если АСП используется не юр.лицом, а физ.лицом то АСП не обязано гарантировать неизменность документа не соглашусь. Свойства, присущие АСП (аутентичность, контроль целостности, безотзывность) не могут регулироваться положениями ЦБ, да ещё избирательно в зависимости от лица, применяющего АСП.

                                      Комментарий

                                      Пользователи, просматривающие эту тему

                                      Свернуть

                                      Присутствует 1. Участников: 0, гостей: 1.

                                      Обработка...
                                      X