11 апреля, воскресенье 13:37
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Положение о правилах осуществления перевода денежных средств N 383-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Положение о правилах осуществления перевода денежных средств N 383-П

    Здравствуйте, коллеги!

    Не так давно вышло в свет новое Положение ЦБ, и вот какой его пункт заставил создать данную тему:
    2.4. Контроль целостности распоряжения в электронном виде осуществляется банком посредством проверки неизменности реквизитов распоряжения.
    Контроль целостности распоряжения на бумажном носителе осуществляется банком посредством проверки отсутствия в распоряжении внесенных изменений (исправлений).
    В связи с чем вопрос — как вы думаете, какая реализация процедуры проверки неизменности реквизитов распоряжения в системах ДБО для физиков удовлетворит ЦБ?

  • yadox
    Участник ответил
    Если электронная подпись простая, то она далеко не всегда обеспечивает целостность — зависит от реализации.
    Если усиленная — возникают определенные трудности в обеспечении всех клиентов-физлиц (про которых данная ветка) средствами ЭП.
    Ну и наконец, вопрос был скорее про комплаенс, нежели про фрод, а Положение ЦБ требует проводить процедуру контроля целостности только на этапе приема распоряжения к исполнению. Потом доказывать не требуется, по крайней мере, в 383-П.

    Прокомментировать:


  • Berckut
    Участник ответил
    Сообщение от yadox Посмотреть сообщение
    Это так, но 383-П под контролем целостности подразумевает проверку неизменности реквизитов, не конкретизируя её реализацию. Стало быть, в качестве такой процедуры проверки мы вполне можем использовать, например, отправку указанных реквизитов клиенту по смс с просьбой подтвердить их. Естественно, закрепив такой способ проверки неизменности в договоре. Вуаля, комплаенс =)
    Вариант интересный, но только как дополнительное средство. Например, чтобы исключить атаки связанные с подменой выводимых на экран данных.
    Как потом доказывать, что проверка целостности была проведена? Операторы GSM не всегда могут подтвердить отправку и содержимое СМС, а электронная подпись она и в Африке электронная подпись.

    Прокомментировать:


  • yadox
    Участник ответил
    Сообщение от Berckut Посмотреть сообщение
    Аналогично с контролем целостности: прописывайте порядок контроля целостности, который в нынешних условиях не отделим от электронной подписи.
    Это так, но 383-П под контролем целостности подразумевает проверку неизменности реквизитов, не конкретизируя её реализацию. Стало быть, в качестве такой процедуры проверки мы вполне можем использовать, например, отправку указанных реквизитов клиенту по смс с просьбой подтвердить их. Естественно, закрепив такой способ проверки неизменности в договоре. Вуаля, комплаенс =)
    Сообщение от Tor Посмотреть сообщение
    Если разного рода скретч-карты или распечатанные пароли без привязки к реквизитам, то, пожалуй, надо искать какой-то другой способ проверки неизменности реквизитов.
    Имхо, точно также можно показать клиенту его реквизиты на странице клиент-банка и попросить подтвердить их кодом со скретч-карты.

    Прокомментировать:


  • Berckut
    Участник ответил
    ЦБ в старом положении 17-П, которое так и не отменено, использует такую формулировку:
    Подтверждение достоверности платёжного документа - процедура, включающая использование согласованного сторонами алгоритма и средств проверки правильности АСП.
    Процедура признания и проверки правильности АСП устанавливается и используется в порядке, предусмотренном договором. Аналогично с контролем целостности: прописывайте порядок контроля целостности, который в нынешних условиях не отделим от электронной подписи.

    Прокомментировать:


  • Алексей Лукацкий
    Участник ответил
    АСП - это аналог собственноручной подписи, который определяется сторонами по договору. Что пропишете, то и будет считаться АСП. Хоть XOR, хоть MD5, хоть усиленная квалифицированная ЭП.

    Прокомментировать:


  • Tor
    Участник ответил
    Меня в 383-П немного напряг другой пункт: 4.9 в уведомлении о совершении операции "должны быть указаны:
    наименование или иные реквизиты кредитной организации;
    номер, код и (или) иной идентификатор электронного средства платежа;
    вид операции;
    дата операции;
    сумма операции;
    сумма комиссионного вознаграждения в случае его взимания;
    идентификатор устройства при его применении для осуществления операции с использованием электронного средства платежа."

    Сейчас думаем, как бы это в смс-ку запихнуть.
    Коллеги, кто как вопрос с этим порешал?

    Прокомментировать:


  • Tor
    Участник ответил
    АСП - аналог собственноручной подписи. Для проверки неизменности реквизитов АСП должен быть каким-то образом зависим от этих реквизитов. В случае с усиленной электронной подписью это, наверно, всегда так, для простой электронной подписи - надо разбираться в каждом отдельном случае. Если простая ЭП, допустим, в виде одноразового пароля формируется исключительно для проведения платежа по данным реквизитам, то этот пункт выполнен. Если разного рода скретч-карты или распечатанные пароли без привязки к реквизитам, то, пожалуй, надо искать какой-то другой способ проверки неизменности реквизитов. В принципе, формально можно сослаться и на SSL...

    Прокомментировать:


  • Горыныч
    Участник ответил
    Сообщение от Алексей Лукацкий Посмотреть сообщение
    Процедура АСП
    А, поподробнее, плз?

    Прокомментировать:


  • Алексей Лукацкий
    Участник ответил
    Процедура АСП

    Прокомментировать:

Обработка...
X