Презентация
серверов от Acer
До начала осталось:
Смотреть

О легитимности и безопасности действий в диджитал каналах

Все чаще произносят фразу: «По закону можно использовать ПЭП, значит мы можем подписать кодом»… Забудьте, пожалуйста, ее НАВСЕГДА!

Любое технологическое решение для электронной подписи имеет под собой три важнейших аспекта:

1) Бизнес: usability для клиентов

2) Технический: реальная безопасность, модели угроз, техническая реализация

3) Юридический: законность, разбор конфликтных ситуаций

С Usability все понятно – пользователям должно быть удобно. Но давайте заострим внимание на техническом и юридическом аспектах. Ведь когда мы начинаем разбираться в технике и юридической значимости – здесь то и начинается «веселье». Очень часто люди пытаются просто читать закон дословно и «прикрывать бумажками».

«Это же простая ПЭП! Закон нам разрешает использовать ПЭП, значит мы можем сделать любую ПЭП и это будет легитимно, мы пропишем это в соглашении с пользователем и все!» С одной стороны - юридической - это так… Но таким же образом, можно заключить соглашение, что клиент, войдя в банк моментально взял кредит, открыл вклад, или чего еще веселее – продал машину или «душу дьяволу»! И это все будет иметь юридическую силу, да. На бумаге, но не на практике… До первой конфликтной ситуации.

При первом же «залете» начнется разбирательство: А как клиент подписал? А чем? А как он согласился так подписывать? А это точно он? Или не он? А где был он? В общем, придерживаясь только формальной букве закона вы НИКОГДА не обеспечите защиту себя, клиентов и пользователей.

Тут важно запомнить, что даже простая электронная подпись тоже бывает разная – одна может быть скомпрометирована на «раз», а вторую «сломать» невозможно. Это обязательно надо учитывать при построении системы. Ведь, если законом допускается использование SMS, Push или «чиха на камеру» - это еще не значит, что схема безопасная, верно?) Мы же не хотим проблем себе и пользователям?

Так, например, мобильная ЭП намного безопаснее SMS и PUSH, но она тоже должна быть сделана со всеми правилами безопасности: ассиметричная криптография, безопасность ключевой информации, безопасный процесс подписания, контроль целостности и авторства, возможность разбора конфликтных ситуаций и пр.…

Резюмирую: юридическая и техническая точки зрения всегда должны идти в совокупности и их категорически нельзя разделять. Желаю всем научиться слушать и слышать друг друга! Да будем мы все в безопасности в цифровой среде)) Аминь)

Дарья Верестникова
Коммерческий директор SafeTech / Cооснователь nopaper.ru
{ "author_name": "Дарья Верестникова", "author_type": "self", "tags": [], "comments": 0, "likes": 0, "favorites": 3, "is_advertisement": false, "subsite_label": "finance", "id": 218562, "is_wide": false, "is_ugc": true, "date": "Wed, 10 Mar 2021 11:30:44 +0300", "is_special": false }
0
0 комментариев
Популярные
По порядку

Комментарии

null