2 марта, вторник 08:28
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Положение о правилах осуществления перевода денежных средств N 383-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Положение о правилах осуществления перевода денежных средств N 383-П

    Здравствуйте, коллеги!

    Не так давно вышло в свет новое Положение ЦБ, и вот какой его пункт заставил создать данную тему:
    2.4. Контроль целостности распоряжения в электронном виде осуществляется банком посредством проверки неизменности реквизитов распоряжения.
    Контроль целостности распоряжения на бумажном носителе осуществляется банком посредством проверки отсутствия в распоряжении внесенных изменений (исправлений).
    В связи с чем вопрос — как вы думаете, какая реализация процедуры проверки неизменности реквизитов распоряжения в системах ДБО для физиков удовлетворит ЦБ?

  • #2
    Процедура АСП

    Комментарий


    • #3
      Сообщение от Алексей Лукацкий Посмотреть сообщение
      Процедура АСП
      А, поподробнее, плз?

      Комментарий


      • #4
        АСП - аналог собственноручной подписи. Для проверки неизменности реквизитов АСП должен быть каким-то образом зависим от этих реквизитов. В случае с усиленной электронной подписью это, наверно, всегда так, для простой электронной подписи - надо разбираться в каждом отдельном случае. Если простая ЭП, допустим, в виде одноразового пароля формируется исключительно для проведения платежа по данным реквизитам, то этот пункт выполнен. Если разного рода скретч-карты или распечатанные пароли без привязки к реквизитам, то, пожалуй, надо искать какой-то другой способ проверки неизменности реквизитов. В принципе, формально можно сослаться и на SSL...

        Комментарий


        • #5
          Меня в 383-П немного напряг другой пункт: 4.9 в уведомлении о совершении операции "должны быть указаны:
          наименование или иные реквизиты кредитной организации;
          номер, код и (или) иной идентификатор электронного средства платежа;
          вид операции;
          дата операции;
          сумма операции;
          сумма комиссионного вознаграждения в случае его взимания;
          идентификатор устройства при его применении для осуществления операции с использованием электронного средства платежа."

          Сейчас думаем, как бы это в смс-ку запихнуть.
          Коллеги, кто как вопрос с этим порешал?

          Комментарий


          • #6
            АСП - это аналог собственноручной подписи, который определяется сторонами по договору. Что пропишете, то и будет считаться АСП. Хоть XOR, хоть MD5, хоть усиленная квалифицированная ЭП.

            Комментарий


            • #7
              ЦБ в старом положении 17-П, которое так и не отменено, использует такую формулировку:
              Подтверждение достоверности платёжного документа - процедура, включающая использование согласованного сторонами алгоритма и средств проверки правильности АСП.
              Процедура признания и проверки правильности АСП устанавливается и используется в порядке, предусмотренном договором. Аналогично с контролем целостности: прописывайте порядок контроля целостности, который в нынешних условиях не отделим от электронной подписи.

              Комментарий


              • #8
                Сообщение от Berckut Посмотреть сообщение
                Аналогично с контролем целостности: прописывайте порядок контроля целостности, который в нынешних условиях не отделим от электронной подписи.
                Это так, но 383-П под контролем целостности подразумевает проверку неизменности реквизитов, не конкретизируя её реализацию. Стало быть, в качестве такой процедуры проверки мы вполне можем использовать, например, отправку указанных реквизитов клиенту по смс с просьбой подтвердить их. Естественно, закрепив такой способ проверки неизменности в договоре. Вуаля, комплаенс =)
                Сообщение от Tor Посмотреть сообщение
                Если разного рода скретч-карты или распечатанные пароли без привязки к реквизитам, то, пожалуй, надо искать какой-то другой способ проверки неизменности реквизитов.
                Имхо, точно также можно показать клиенту его реквизиты на странице клиент-банка и попросить подтвердить их кодом со скретч-карты.

                Комментарий


                • #9
                  Сообщение от yadox Посмотреть сообщение
                  Это так, но 383-П под контролем целостности подразумевает проверку неизменности реквизитов, не конкретизируя её реализацию. Стало быть, в качестве такой процедуры проверки мы вполне можем использовать, например, отправку указанных реквизитов клиенту по смс с просьбой подтвердить их. Естественно, закрепив такой способ проверки неизменности в договоре. Вуаля, комплаенс =)
                  Вариант интересный, но только как дополнительное средство. Например, чтобы исключить атаки связанные с подменой выводимых на экран данных.
                  Как потом доказывать, что проверка целостности была проведена? Операторы GSM не всегда могут подтвердить отправку и содержимое СМС, а электронная подпись она и в Африке электронная подпись.

                  Комментарий


                  • #10
                    Если электронная подпись простая, то она далеко не всегда обеспечивает целостность — зависит от реализации.
                    Если усиленная — возникают определенные трудности в обеспечении всех клиентов-физлиц (про которых данная ветка) средствами ЭП.
                    Ну и наконец, вопрос был скорее про комплаенс, нежели про фрод, а Положение ЦБ требует проводить процедуру контроля целостности только на этапе приема распоряжения к исполнению. Потом доказывать не требуется, по крайней мере, в 383-П.

                    Комментарий

                    Обработка...
                    X