Какие новые решения предлагает рынок банковской информатизации? Мобильный банкинг: Направления развития «Браузер» «Карта в телефоне» «Телефон – терминал» Алексей Казарцев, к.т.н

Мобильный банкинг. Наш опыт построения систем. Наша команда с 2007 года вовлечена в процесс создания различных систем интернет, SMS и мобильного банкинга, работающей со всеми распространенными платформами: Iphone\IPad, Android, Windows Mobile\ Windows Phone 7, J2ME. В процессе создания разработок мы приобрели определенный опыт, который позволяет нам сделать некоторые выводы о развитии систем мобильного банкинга. Все, что будет представлено ниже основано на нескольких успешных коммерческих реализациях как в банках, предоставляющих возможность своим клиентам управлять счетами, делать платежи и переводы посредством мобильного телефона, так и в небанковских организациях, осуществляющих прием платежей и переводы.

Общие свойства систем. Потребности банков 1. Платформы: – Iphone/Ipad, – Windows Mobile/Phone, – Android, – Java (J2ME); 2. Безопасность: - Стандарты (ГОСТ, PCI DSS), - Устойчивые алгоритмы защиты данных (шифрования): 3DES, RSA Системы аутентификации: MMA, OATH. 3. Интеграция: - с процессинговыми системами, по своим картам (SOAP, ISO), - с процессинговыми системами, по «чужим картам» картам Visa, Master Card… (ISO, Base1), - с АБС и ритейловыми системами в онлайне (SOAP, XML), - с шинами передачи данных, работающими с банковскими и платежными информационными системами (XML). 4. Размещение на ApStore, Google Play, WMP. еще… мобильный сайт?

Различия систем. какой банк что строит. 1. Браузер: аналог сайта, логин-пароль. – оптимален «онлайнового банка» с развитой системой Интернет - банкинга, – прост и быстр в построении и внедрении, – безопасность: так же как WEB-банкинг (SSL, HTTPS), – интегрирован с ИС банка также как WEB-банкинг, – неудобства для клиента (логин-пароль, одноразовые пароли, перехват sms); 2. Карточная система: «карта в телефоне», PIN. - подходит для банка, который активно развивает карточную эмиссию и хорошо вложился в процессинговый центр, - безопасность PCI DSS: 3DES/RSA1024, MMA/OATH, – интегрирован с ИС банка через ПЦ, – эмитируется и персонализуется как карта (ПИН-конверт); 3. Полнофункциональная система: «телефон – терминал» - подходит для банка, который планирует новую эмиссию, - безопасность PCI DSS: 3DES/RSA1024, MMA/OATH, – интегрирован с ИС банка (SOAP, ISO, XML), – эмитируется и персонализуется «по воздуху» – «до основанья, а затем…»

Системы подробнее. «Браузер» кто: Хенди-Банк, Тиньков, ВТБ-24 Клиентские интерфейсы Iphone Ipad Android WEB СистемаИнтернет-банкинга Безопасность:Логин-Пароль- Одноразовый пароль Интерфейс к интеграторам (переводы, платежи) SSL, HTTPS WEB-сервисы банка, шина… (элемент ИС банка) J2ME подсистемаАБС подсистемаПЦ ПодсистемаПереводов/платежей Интерфейс к АБС Запрос баланса Запрос выписки Списание со сч. Зачисление Интерфейс к ПЦ Зачисление (Credit) Списание (Debit) Баланс (Balance) Выписка (Statement)

Пример браузера: Handy Bank Система HandyBank –интернет-банковский сервис, предоставляемый любым из банков-участников Системы своему клиенту – физическому лицу. Позволяет клиенту совершать платежи со счета банковской карты, не передавая ни номера карты, ни PIN-кода к ней. Приложения Iphone\Ipad и Android, позволяют осуществлять гибкую настройку состава платежей и переводов, меню клиента, информационных сервисов и другого контента с сервера банка, что придает системе значительную гибкость. еще… ТКС IPHONE \ IPAD ANDROID

Системы подробнее. « Карта в телефоне» кто: производители ПО для ПЦ Клиентские интерфейсы Iphone Ipad Android ПЦ банка Интерфейс к интеграторам (переводы, платежи) Подсистема криптозащиты и аутентификации ПЦ (PIN, MMA) J2ME подсистемаАБС ПодсистемаПереводов/платежей Интерфейс к АБС Запрос баланса Запрос выписки Списание со сч. Зачисление Операции по картам Зачисление (Credit) Списание (Debit) Баланс (Balance) Выписка (Statement) Клиентскийпрофиль БДПЦБДПЦ

Пример «Карта в телефоне»: Ханты-Мансийский банк Приложение разработано для взаимодействия с системой Way4 Cards (Open Way) и соответствует стандарту PCI DSS. Безопасность: Шифрованный канал: 3DES (3x64), аутентификация: Master Card Mobile Authentication (MMA). Клиенты банка имеют возможность проводить информационные (запрос баланса и выписки) и платежные (платежи, переводы) с использованием карт банка. еще: МБРР (в сотрудничестве с Tieto Enator)

Системы подробнее. « Телефон - терминал» кто: Альфа-банк, А3, АТБ Клиентские интерфейсы БДБД Iphone Ipad Android WEB Ядро системы подсистема«Интернет-банкинг» Аутентификация и криптография (Элемент ядра системы) J2ME SMS API партнера подсистема Мобильный банкинг подсистема SMS банкинг Управлениепрофилямипользователей Интерфейс АБС Запрос баланса (getBalance) Запрос выписки (getStatement) Списание со сч. (Payment) Зачисление (Credit) Интерфейс ПЦ Зачисление (Credit) Списание (Debit) Баланс (Balance) Выписка (Statement) Интерфейс к интеграторам

Пример «телефон – терминал»: АТБ-мобайл Система ДБО предоставляет клиентам ОАО «Азиатско-Тихоокеанский Банк» возможность проведения платежей и переводов с помощью мобильного телефона и через Интернет. Используя систему ДБО, клиент банка может управлять своими средствами как на картах, эмитированных банком, так и на картах международных платёжных систем VISA Int., MasterCard, эмитированных любыми банками. еще: Альфа-банк, А3

Вывод: будущее за полнофункциональными системами. еще… о тех, кто много потратил раньше Спасибо за внимание… Алексей Казарцев,

P.S. internet-bankinga-cherez-sms/ 12:29, 11 Марта 2013 Обнаружена программа, похищающая ключи у пользователей интернет-банкинга через SMS Программа перехватывает SMS, присланные банком. В продаже появилась вирусная программа для мобильных устройств под управлением операционной системы Android, перехватывающая входящие SMS-сообщения, сообщил в своем блоге известный эксперт по компьютерной безопасности Брайан Кребс (Brian Krebs). По его словам, речь идет о программе под названием Perkele, которая продается на одном из подпольных интернет-форумов. Суть работы программы состоит в перехвате входящих SMS и пересылке их текста организаторам вирусной атаки, которые таким образом узнают конфиденциальные данные пользователей, в частности, коды для управления банковскими операциями. Программа предназначена для похищения личной информации о пользователях интернет-банкинга 69 банков Австралии, Франции, Индии, Италии, Германии, Новой Зеландии, Сингапура, Испании, Швейцарии и Турции. Эти банки используют двухуровневую аутентификацию пользователей, требуя ввести для подтверждения платежа не только