Вот мы и подошли вплотную к вопросу о том, какими технологиями можно реализовать удобную и безопасную электронную подпись, неотъемлемой частью которой является простота использования, соответствие законодательству и мобильность.
Несколько лет назад мы представили рынку платформу PayControl для подписи «в смартфоне», призванное свести к нулю риски, возникающие при использовании SMS- и PUSH-кодов. Это решение «превращает» мобильное устройство в удобный и очень мобильный аналог привычного USB-токена, в котором формируется электронная подпись. Теперь высокий уровень безопасности операций, который раньше был доступен только в ДБО юридических лиц и только на рабочих компьютерах, стал доступен всем.
Сейчас PayControl – это полноценная платформа мобильной аутентификации и электронной подписи. При ее использовании клиенты защищены от наиболее распространенных атак: «перевыпуска» SIM-карты, фишинга, подмены документа, и, самое главное в настоящее время — от социальной инженерии. Решение PayControl может быть полностью встроено в мобильное приложение банка. Во время подписи транзакций и документов клиент видит их реквизиты на своем смартфоне и подтверждает одним нажатием кнопки. Никаких дополнительных скретч-карт или криптокалькуляторов, никакой зависимости от наличия сотовой связи и скорости доставки SMS. Использование PayControl нисколько не сложнее, чем звонок с мобильного телефона.
На чем основывается безопасность PayControl? При его использовании подпись формируется как функция от 4-х аргументов: реквизиты конкретной операции, ключ подписи клиента, момент времени операции и «отпечаток» смартфона пользователя. В этот же момент проводится анализ смартфона на Root/Jailbreak и наличие подозрительных приложений, а также отправляются во фрод-мониторинг банка параметры рабочей сессии. Даже если пофантазировать и предположить, что злоумышленник как-то получит доступ к ключу, то он никак не сможет его использовать для другой операции, на другом устройстве, в другое время.
При этом PayControl повышает не только уровень безопасности, но и удобство работы клиента. С его помощью можно сделать простой и безопасный вход в Интернет-банк без логина и пароля, с ним можно подтверждать документы прямо в интерактивных уведомлениях и на смарт-часах! Поговорим об этом в следующий раз.