Дбо bs-client V. 3 “Частный Клиент”




Скачать 67.85 Kb.
НазваниеДбо bs-client V. 3 “Частный Клиент”
Дата публикации23.03.2013
Размер67.85 Kb.
ТипДокументы
www.vbibl.ru > Банк > Документы
ДБО BS-Client v.3 “Частный Клиент”

«MobiPass»


версия от 13.03.2009

MobiPass - это технология генерации сеансового ключа - аналога собственноручной подписи клиента - посредством Java-приложения на сотовом телефоне. Предназначена для самостоятельного формирования клиентом одноразовых ключей в том месте, в то время и в том количестве, в которых это необходимо для пользования банковскими услугами. «MobiPass» используется совместно с другими подсистемами комплексного решения «ДБО BS-Client. Частный Клиент». «MobiPass» рекомендуется для активных клиентов, часто использующих систему «Частный Клиент».

Использование «Mobipass» основывается на статье 160 ГК РФ, в которой говорится, что при согласии сторон допускается использование аналогов собственноручной подписи клиента. При этом «MobiPass» не является ЭЦП и поэтому не подпадает под действие закона «Об электронной цифровой подписи».

«MobiPass» позволяет на мобильном телефоне в ответ на ввод указанного банком 6-значного кодового числа документа получить одноразовый ключ - аналог собственноручной подписи клиента. В отличие от скретч-карты с таблицой одноразовых ключей, «MobiPass» позволяет получить неограниченное число таких ключей и избавляет клиента от необходимости посещать офис банка по мере использования одноразовых ключей.

При необходимости подписать документ в системе «Частный Клиент» пользователю сообщается (выводится на экран) 6-значное кодовое число документа, которое необходимо ввести в мобильный телефон. В ответ «MobiPass» вычисляет 6-разрядное значение одноразового ключа, необходимого для подтверждения проведения операции. В целях защиты от несанкционированного использования «MobiPass» требует ввода персонального 4-значного PIN-кода при генерации каждого одноразового ключа.

Java-приложение «MobiPass» может быть загружено клиентом из любого удобного банку источника (WAP-сайта банка, компьютера сотрудника банка при подписании клиентом контракта на обслуживание, диска, предоставляемого банком после подписания контракта, и т.п.). Для активации «MobiPass» на мобильном телефоне необходимо ввести 32-значный секретный код, предоставляемый банком, а также задать PIN-код .

Сам секретный код использующийся при работе системы имеет длину 128 бит. Поскольку при вводе 28-ми цифр кода возможны ошибки, то для удобства клиентов реализована следующая схема. Клиент вводит 4 группы по 8 символов. Первые 7 цифр в такой группе – части секретного кода, а последняя цифра является контрольной суммой (при сохранении ключа в памяти отбрасывается).



^ Рис. 1Активация «MobiPass»
Технология «MobiPass» основана на открытом стандарте Open Authentification, широко применяемом в мировой практике и гарантирующем достаточный уровень безопасности. Подробнее о технологии Open Authentification можно узнать на сайте http://www.openauthentication.org.

Для вычисления одноразового ключа «MobiPass» использует алгоритм RFC-4226 «HOTP: An HMAC-Based One-Time Password Algorithm» (http://www.ietf.org/rfc/rfc4226.txt).

Алгоритм основан на выработке подписи под документом на основе секретного ключа, который знают две стороны. Секретный ключ - число размером 128 бит - генерируется банком и первоначально вводится в мобильный телефон клиента.

При подписи документа, на основе его данных вычисляется hash-функция, которая и является кодовым числом этого документа. Это кодовое число отображается на экране системы интернет-банкинга для того, чтобы пользователь ввел его в мобильный телефон. Java-приложение «MobiPass», зная кодовое число документа и секретный 128-битный ключ, вычисляет одноразовый ключ посредством функции HOTP. Пользователь вводит полученный одноразовый ключ в систему интернет-банкинга.

На сервере банка проводится аналогичное вычисление одноразового ключа, так как сервер системы «Частный Клиент» также знает кодовое число и секретный ключ. Соответственно введенный пользователем ключ и вычисленный сервером ключ должны совпасть – такое совпадение является фактом успешной подписи документа.

Поскольку в качестве кодового числа документа используется его hash-функция, это позволяет контролировать содержимое документа. После подписи документа является невозможным изменение его содержания, т.к. в случае изменения проверка подписи будет неудачной.

Если число не совпадает, то у клиента есть ещё две попытки на ввод одноразового ключа, после чего его учётная запись блокируется.

Для защищенного хранения ключа и исключения офлайнового подбора PIN-кода реализована схема непроверяемого хранения секретного ключа. В памяти хранится не непосредственно сам секретный ключ, а зашифрованный битовой маской из PIN-кода.

Если клиент введёт неправильный PIN-код, то секретный ключ будет восстановлен неправильно, и следовательно неправильно рассчитан одноразовый ключ, но ошибка возникнет только после ввода полученного одноразового ключа в систему «Частный Клиент». Такая схема исключает офлайновый подбор PIN-кода, а при онлайновом подборе у злоумышленника будет всего три попытки, после чего учётная запись будет заблокирована.

Внимание. В случае утери телефона с установленным приложением «MobiPass», клиент должен немедленно позвонить в Банк и заблокировать доступ к системе.

«MobiPass» более безопасен в использовании, чем сеансовые ключи, так как позволяет контролировать неизменность подписанного документа, но менее безопасен, чем ЭЦП, поскольку ЭЦП базируется на ассиметричных алгоритмах подписи и банк не знает секретной части ключа, который есть у клиента. Однако по сравнению с ЭЦП работа с «MobiPass» проще, т.к. для подтверждения документа используются 6-значные ключи, и для их вычисления можно использовать мобильный телефон. В то время как для использования ЭЦП обязательно требуется сертифицированные программные средства, требующие установки на компьютер пользователя.


Рис. 2Схема подписи документа с использованием технологии «MobiPass»

^

Порядок разрешения споров по операциям, осуществленным с помощью «MobiPass»:


  1. При обнаружении спорной операции (электронного документа) с использованием «MobiPass» Клиент вправе обратиться в Банк с целью ее опротестования. Опротестование операции возможно не позднее 30 календарных дней с момента ее проведения.

  2. Указанное опротестование оформляется письменным заявлением в адрес Банка, составленным в произвольной форме и включающим в себя следующую информацию: ФИО Клиента; дата операции; вид операции; сумма операции; причина опротестования.

  3. Банк в течение 10 рабочих дней рассматривает заявление Клиента и удовлетворяет претензию Клиента, либо направляет письменный ответ Клиенту о необоснованности его претензии.

  4. В случае несогласия с заключением Банка Клиент направляет в Банк письменное уведомление о своем несогласии и требованием формирования конфликтной комиссии для разрешения споров. Конфликтная комиссия формируется на срок до 10 рабочих дней, в течение которого она должна установить правомерность и обоснованность претензии, а также, если необходимо, подлинность и авторство спорной операции.

  5. В состав конфликтной комиссии входит равное количество представителей от каждой из Сторон, определяемых Сторонами самостоятельно. Право представлять соответствующую Сторону в комиссии должно подтверждаться доверенностью, выданной каждому представителю на срок работы комиссии.

  6. Комиссия определяет, включая, но, не ограничиваясь, следующее:

- предмет разногласий на основании претензии Клиента и разъяснений Сторон;

- правомерность предъявления претензии на основании текста заключенного Договора и Приложений к нему;

- банковскую операцию, относящуюся к предмету разногласий;

- факт входа Клиента в Систему перед отправкой спорной операции;

- соответствие секретного ключа, использованного Клиентом, ключу, хранящемуся в Банке, и правомерность его использования;

- дату и время поступления операции.

  1. Стороны договариваются, что для разбора конфликтных ситуаций комиссия принимает на рассмотрение электронный документ и обязана использовать следующие, признаваемые Сторонами, эталонные данные:

- данные электронного архива принятых, отправленных документов;

- данные базы данных секретных ключей;

- хранимую у Банка программу.

  1. Комиссия должна удостовериться, что действия Сторон соответствовали Договору, действующему на момент создания спорной операции.

  2. Подтверждением правильности исполнения Банком спорного документа является одновременное выполнение следующих условий:

- информация, содержащаяся в спорном документе, полностью соответствует действиям Банка по его исполнению;

- установлен факт входа Клиента в Систему, предшествующего отправке спорного документа в Банк;

- системой правильно рассчитана hash-функция (кодовое число) под документом;

- установлен факт проверки системой одноразового ключа, введенного клиентом;

- на момент отправки документа используемый секретный ключ не был блокирован.

В этом случае претензии Клиента к Банку, связанные с последствиями исполнения указанного документа, признаются необоснованными. Невыполнение любого из перечисленных условий означает, что корректность использования одноразового ключа, сгенерированного приложением «MobiPass» и правильность исполнения документа не подтверждена, т.е. проверяемый документ подтвержден некорректным одноразовым ключом, либо документ не был правильно исполнен Банком. В этом случае претензии Клиента к Банку, связанные с последствиями исполнения указанного документа, признаются обоснованными.

  1. Результаты экспертизы оформляются в виде письменного заключения - Акта конфликтной комиссии, подписываемого всеми членами комиссии. Акт составляется немедленно после завершения экспертизы. В Акте результаты проведенной экспертизы, а также все существенные реквизиты спорного электронного документа. Акт составляется в двух экземплярах - по одному для представителей Банка и Клиента. Акт комиссии является окончательным и пересмотру не подлежит.

  2. Результат работы комиссии Стороны вправе оспорить в порядке, установленном действующим законодательством Российской Федерации. Акт, составленный конфликтной комиссией, является доказательством при дальнейшем разбирательстве спора в судебных органах.

Добавить документ в свой блог или на сайт

Похожие:

Дбо bs-client V. 3 “Частный Клиент” iconОбмен данными между системой "дбо bs-client. Частный Клиент" V 3...
Документ является спецификацией интерфейсов обмена данными между информационными системами Дистанционного Банковского обслуживания...

Дбо bs-client V. 3 “Частный Клиент” iconДбо «bs-client V. 3 релиза 17. 6» иабс «Диасофт 4х4» (Внешнее устройство...
Документ является спецификацией интерфейсов обмена данными между информационными системами Дистанционное банковское обслуживание...

Дбо bs-client V. 3 “Частный Клиент” iconСправочник Учетных систем 9 2 Справочник типов запросов к Учетным...
Взаимодействие системы «дбо bs-client. Частный клиент» с учетными системами банка

Дбо bs-client V. 3 “Частный Клиент” iconСправочник Учетных систем 10 2 Справочник типов запросов к Учетным...
Взаимодействие системы «дбо bs-client. Частный клиент» с учетными системами банка

Дбо bs-client V. 3 “Частный Клиент” iconОбмен данными между системой "дбо bs-client. Частный Клиент" V 5...
Настоящий документ содержит информацию, актуальную на момент его составления. Ооо «бсс» не гарантирует отсутствия ошибок в данном...

Дбо bs-client V. 3 “Частный Клиент” iconДбо «bs-client V. 3 релиза 17. 6» иабс «Диасофт 4х4» Оглавление 1 Общие положения 3
Документ является спецификацией интерфейсов обмена данными между информационными системами Дистанционное банковское обслуживание...

Дбо bs-client V. 3 “Частный Клиент” iconДбо «bs-client V. 3 релиза 17. 8» иабс «бисквит» Оглавление 1 Общие...
Документ является спецификацией интерфейсов обмена данными между информационными системами Дистанционное банковское обслуживание...

Дбо bs-client V. 3 “Частный Клиент” iconДбо «bs-client V. 3 релиза 17. 9» иабс ibso. Оглавление 1Общие положения 3
Документ является спецификацией интерфейсов обмена данными между информационными системами Дистанционное банковское обслуживание...

Дбо bs-client V. 3 “Частный Клиент” iconДбо «bs-client V. 3 релиза 17. 8» иабс «Инверсия XXI век» V. 1 и...
Документ является спецификацией интерфейсов обмена данными между информационными системами Дистанционное банковское обслуживание...

Дбо bs-client V. 3 “Частный Клиент” iconИнструкция по перегенерации (продлении) ключей. Если при входе в...
Если при входе в дбо bs-client, Вы видите ошибку в статусе (Рис. 1), следует проделать следующее

Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2013
контакты
www.vbibl.ru
Главная страница