19 июня, суббота 04:11
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

двухфакторная аутентификация

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • двухфакторная аутентификация

    Коллеги, добрый день.
    Подскажите где описаны требование использовать двухфактроную аутентификацию в дбо?

  • #2
    Сообщение от RUBIT Посмотреть сообщение
    Подскажите где описаны требование использовать двухфактроную аутентификацию в дбо?
    146-T посмотрите.

    Комментарий


    • #3
      Сообщение от RUBIT Посмотреть сообщение
      Подскажите где описаны требование использовать двухфактроную аутентификацию в дбо?
      Указание Банка России от 14.08.2014 N 3361-У
      п. 1.5 последний абзац изменений п. 2.8.2

      Оператор по переводу денежных средств принимает и фиксирует во внутренних документах решения о необходимости направления клиенту по альтернативному системе Интернет-банкинга каналу связи сообщения, содержащего сведения о сформированном с использованием системы Интернет-банкинга распоряжении о переводе денежных средств, включая сумму и получателя денежных средств, до подтверждения клиентом указанного распоряжения с использованием одноразового кода подтверждения.

      Комментарий


      • #4
        кто нибудь уже реализовал эти требования?

        Комментарий


        • #5
          у BSS есть одноразовый пароль по SMS.
          Я словно лист на ветру, посмотри как я лечу...

          Комментарий


          • #6
            Mc`Sim, этот пароль будет удовлетворять требованиям 382-П?

            Комментарий


            • #7
              UserNick, подскажите, где посмотреть, что БР имеет ввиду под термином " система Интернет-банкинга". Юристы утверждают, что под этот определение подходит только системы по пластиковым картам, а для систем обслуживающих ЮР. лиц - это не применимо.

              Комментарий


              • #8
                khusainov rustam,
                на мой взгляд - да. Получается, что при этом мы сперва проверяем имя/пароль пользователя при входе, потом одноразовый пароль(доставленный пользователю по каналу, отличному от канала БК/ИК) при оплате.
                Я словно лист на ветру, посмотри как я лечу...

                Комментарий


                • #9
                  Сообщение от khusainov rustam Посмотреть сообщение
                  UserNick, подскажите, где посмотреть, что БР имеет ввиду под термином " система Интернет-банкинга". Юристы утверждают, что под этот определение подходит только системы по пластиковым картам, а для систем обслуживающих ЮР. лиц - это не применимо.
                  все что через инет, кроме банкоматов и пос-терминалов...
                  был на семинаре, явно сказали... вот здесьесть презентация изменений, там на 13 и 14 слайде показано

                  Комментарий


                  • #10
                    Сообщение от khusainov rustam Посмотреть сообщение
                    UserNick, подскажите, где посмотреть, что БР имеет ввиду под термином " система Интернет-банкинга". Юристы утверждают, что под этот определение подходит только системы по пластиковым картам, а для систем обслуживающих ЮР. лиц - это не применимо.
                    Попросите ваших юристов обосновать это утверждение.

                    IMHO Разницы нет, но их мнение послушать интересно.

                    Комментарий


                    • #11
                      Сообщение от khusainov rustam Посмотреть сообщение
                      Mc`Sim, этот пароль будет удовлетворять требованиям 382-П?
                      Здесь не все просто и однозначно.

                      Видел хороший вопрос, после ответа БР на него, появится ясность с Вашим вопросом:

                      В соответствии с требованием абз. 9 п. 2.8.2 382-П в редакции 3361-У, информация, необходимая для генерации одноразового кода подтверждения, или одноразовый код подтверждения должны доводиться до клиента по альтернативному системе Интернет-банкинга каналу связи.
                      Просим Вас разъяснить критерии выбора альтернативного канала связи.
                      Будет ли выполнено вышеуказанное требование в случае, когда работа в системе Интернет-банкинга выполняется с посредством смартфона, при этом информация, необходимая для генерации одноразового кода подтверждения, или одноразовый код подтверждения будут доставлены на этот же смартфон одним из следующих способов: посредством SMS-сообщения; посредством e-mail-сообщения, прочитанного на этом же смартфоне; посредством специального программного обеспечения для доставки сообщений банка, установленного на этом же смартфоне?

                      Комментарий


                      • #12
                        Сообщение от UserNick Посмотреть сообщение
                        Здесь не все просто и однозначно.

                        Видел хороший вопрос, после ответа БР на него, появится ясность с Вашим вопросом:

                        В соответствии с требованием абз. 9 п. 2.8.2 382-П в редакции 3361-У, информация, необходимая для генерации одноразового кода подтверждения, или одноразовый код подтверждения должны доводиться до клиента по альтернативному системе Интернет-банкинга каналу связи.
                        Просим Вас разъяснить критерии выбора альтернативного канала связи.
                        Будет ли выполнено вышеуказанное требование в случае, когда работа в системе Интернет-банкинга выполняется с посредством смартфона, при этом информация, необходимая для генерации одноразового кода подтверждения, или одноразовый код подтверждения будут доставлены на этот же смартфон одним из следующих способов: посредством SMS-сообщения; посредством e-mail-сообщения, прочитанного на этом же смартфоне; посредством специального программного обеспечения для доставки сообщений банка, установленного на этом же смартфоне?
                        В требованиях же явно прописано про канал связи, причем тут устройство? Я так понимаю, что если это Интернет банкинг - альтернативным каналом будет мобильная связь, например. Где тут неоднозначность?

                        Комментарий


                        • #13
                          Сообщение от Ярослав В. Посмотреть сообщение
                          В требованиях же явно прописано про канал связи, причем тут устройство? Я так понимаю, что если это Интернет банкинг - альтернативным каналом будет мобильная связь, например. Где тут неоднозначность?
                          Неоднозначность в самом требовании по отношению к доступу в ДБО с мобильных устройств.
                          Уязвим как правило не канал связи. Если перехватчик SMS сидит в том же самом смартфоне с которого вы работаете в ДБО, то требование к "альтернативности" канала связи теряет смысл.
                          Поэтому необходимо понимать, что БР имел в виду на самом деле когда сформулировал это требование.

                          Комментарий


                          • #14
                            Сообщение от UserNick Посмотреть сообщение
                            Неоднозначность в самом требовании по отношению к доступу в ДБО с мобильных устройств.
                            Уязвим как правило не канал связи. Если перехватчик SMS сидит в том же самом смартфоне с которого вы работаете в ДБО, то требование к "альтернативности" канала связи теряет смысл.
                            Поэтому необходимо понимать, что БР имел в виду на самом деле когда сформулировал это требование.
                            Но в требованиях же обозначен канал связи? Источник сигнала и приемник в понятие канал связи не входят, канал связи + источник + приемник - канал передачи данных. Поэтому по моему мнению требование однозначное.

                            Комментарий


                            • #15
                              Добрый день! А если процессинг по пластику осуществляет другой банк (мы - только эмитент) все требования, связанным с интернет - банкингом для нас актуальны?

                              Комментарий


                              • #16
                                Сообщение от Ярослав В. Посмотреть сообщение
                                Но в требованиях же обозначен канал связи? Источник сигнала и приемник в понятие канал связи не входят, канал связи + источник + приемник - канал передачи данных. Поэтому по моему мнению требование однозначное.
                                C технической точки зрения, да. Но если выполнить это требование "в лоб", то придется клиентам отказать в предоставлении услуг ДБО, если абонентским устройством будет планшет или смартфон. Исключение составят устройства с несколькими SIM картами которые формально используют разные "каналы связи". Только вот усиления безопасности от такого выполнения требования, увы, не будет.
                                Думаю, перед тем как выполнить это требование, все же лучше узнать точку зрения БР.

                                Комментарий


                                • #17
                                  Сообщение от 135nika Посмотреть сообщение
                                  Добрый день! А если процессинг по пластику осуществляет другой банк (мы - только эмитент) все требования, связанным с интернет - банкингом для нас актуальны?
                                  Думаю, да.

                                  Оператор по переводу денежных средств вы. Счет клиента у вас. Следовательно переводы денежных средств выполняются со счета клиента в вашем банке.

                                  Если требование другой банк выполняет, то просто передайте официально ему эти полномочия.
                                  Если другой банк не выполняет требование, отвечать за его не выполнение будет ваш банк.

                                  Комментарий


                                  • #18
                                    Коллеги, разъясните содержание следующего пункта из 382-П (другими словами переведите на РУССКИЙ язык, что ЦБ имеет в виду):

                                    "Оператор по переводу денежных средств обеспечивает контроль состава объектов информационной инфраструктуры в сегментах информационно-телекоммуникационных сетей, в составе которых присутствуют ТУ ДБО, за исключением случая использования услуг радиотелефонной подвижной связи"


                                    Заранее спасибо. Жду Вашего ответа.

                                    Комментарий

                                    404 Not Found

                                    404 Not Found


                                    nginx
                                    Обработка...
                                    X