Защита информации

Обеспечения защиты информации – многоплановая проблема, которую невозможно решить каким-то одним методом или путем использования какой-то одной технологии.

• защиту от несанкционированного доступа в систему,
• защиту от несанкционированного выполнения операций в системе,
• защиту информации, передаваемой по каналам связи,
• защиту конфиденциальных данных о клиентах в том числе и от сотрудников банка,
• подтверждение авторства транзакций и аудит.

Ниже эти аспекты будут рассмотрены более подробно.

Одной из особенностей фронт-офисных решений является широкая география точек присутствия Банка. В этом случае, для передачи данных часто приходится использовать незащищенных публичные сети, находящиеся вне зоны контроля Банка.

Для защиты данных при передаче через публичные сети используется технология SSL (Secure Socket Layer) v.3, обеспечивающая передачу данных между рабочей станцией и сервером по защищенному «туннелю» с 128-битным шифрованием.
Кроме того, возможно подключение точек присутствия с использованием технологии VPN (Virtual Private Network).

Все пароли пользователей в системе хранятся в необратимо зашифрованном виде, восстановление пароля невозможно. Даже администраторы не имеют доступа к паролю – они могут лишь поменять пароль пользователя на новый.

Для аутентификации пользователя в системе могут использоваться различные методы стандартная аутентификация по паре «логин-пароль», цифровые сертификаты на различных носителях, смарт-карты. Указанные методы могут использоваться как самостоятельно, так и в комбинации друг с другом.
По запросу клиентов возможна реализация и других методов аутентификации.

В подсистеме дистанционного банковского обслуживания (являющейся частью интегрированного фронт-офисного решения) важной проблемой является обеспечение неотрекаемости клиентов от совершения транзакций.

• одноразовые пароли (клиенту выдается карточка с паролями, после их исчерпания он может самостоятельно сгенерировать новую порцию)
• генерация уникального кода на основе ключевых характеристик документа (мы предлагаем использовать для этого токены нашего партнера, компании VASCO).

Базовым механизмом разграничения доступа является ролевой доступ – при настройке конфигурации в системе определяются роли, позволяющие пользователям выполнять определенные функциональные обязанности и имеющие определенные права.

Кроме ролей, права могут назначаться на пользователя, группу пользователей и на подразделение оргструктуры. Приоритеты прав настраиваются, по умолчанию права пользователя имеют приоритет над правами роли, группы пользователей и подразделения.

Одной из проблем розничного обслуживания в банках является большое число точек присутствия банка, высокая текучесть операционного персонала, низкий уровень подготовки пользователей и, как следствие, высокие риски утечки конфиденциальной информации о клиентах.

Для управления этими рисками в системе используются следующие методы:

Ограниченная выборка данных
По умолчанию пользователь не может увидеть сколько-нибудь полный список клиентов – для получения доступа к карточке клиента нужно найти его, указав ФИО и/или реквизиты удостоверяющего личность документа. В случае неточного поиска отображается не более 5 результатов, наиболее близких по параметрам к искомым.

Клиентская сессия
Данные о клиенте могут быть доступны операционному сотруднику только в период обслуживания данного клиента - для доступа к данным клиента необходимо открыть так называемый «сеанс обслуживания клиента» («клиентскую сессию»), в рамках которого он видит данные клиента и может работать с ними. Для авторизации в этом случае может использоваться выдаваемая клиентам пластиковая карта, вводимый лично клиентом специальный пин-код или вводимый вышестоящим сотрудником пароль.