{"id":13847,"url":"\/distributions\/13847\/click?bit=1&hash=ccbcf186ae6c3a0383fc6d98c83371a774b20605a9943111d78c0086348a61e1","title":"\u042d\u0442\u043e\u0442 \u043f\u043b\u0430\u0442\u0451\u0436\u043d\u044b\u0439 \u0441\u0435\u0440\u0432\u0438\u0441 \u0432\u0441\u0442\u0440\u043e\u0438\u0442\u0441\u044f \u0432 \u043b\u044e\u0431\u0443\u044e \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0443 \u043b\u043e\u044f\u043b\u044c\u043d\u043e\u0441\u0442\u0438","buttonText":"\u041a\u0430\u043a \u044d\u0442\u043e?","imageUuid":"f2ed9ee2-eea1-5d53-8b9b-f03732a710b1","isPaidAndBannersEnabled":false}

Мобильная подпись. Варианты подключения. Баланс Usability и Security

В прошлый раз мы обсудили различные варианты встраивания платформы PayControl в цифровые каналы банка. Рассказали, что есть возможность использовать на стороне клиента «отдельно-стоящее» мобильное приложение PayControl, а также возможность «встроить» SDK PayControl в мобильное приложение ДБО. Каждый вариант отвечает особенностям банка, портрета его клиентов, а также принятых у него бизнес-процессов. Так же и последующее подключение клиентов к обновленным цифровым каналам — четко соответствует бизнес-процессам и не влечет их перенастройки.

Независимо от того, подключаются ли к системе формирования мобильной подписи юридические или физические лица, а также новые клиенты ДБО, или клиенты, уже активно использующие цифровые каналы, платформа PayControl позволит вам организовать для них «бесшовное» и «прозрачное» подключение. Сам этот процесс вы можете плавно «тюнинговать» в зависимости от принятых в банке юридических конструкций и рисковой модели.

Первый, наиболее классический способ заключается в следующем. Клиенты скачивают из Google Play или App Store мобильное приложение и далее начинается процесс его персонализации. Ключи инициализации разбиваются на две части и передаются в мобильное приложение двумя разными каналами: первая часть посредством сканирования QR-кода (из личного кабинета, или даже из запечатанного конверта), а вторая часть — в виде кода, который может быть передан, например, через IVR или e-mail. После того, как ключи инициализации попали в мобильный телефон, генерируется асимметричная ключевая пара. Закрытый ключ, «привязанный» к аппарату остается в смартфоне, а открытый передается в банк. Принципиальным моментом обеспечения юридической значимости является ознакомление и подписание «Акта признания открытого ключа» непосредственно на бумаге. После этого клиенты готовы к работе и получают возможность легко и просто управлять своим счетом.

Такой способ прекрасно подходит для подключения юридических лиц, а также для использования «отдельно-стоящего» мобильного приложения PayControl.

Второй, более легкий для клиента способ, предусматривает получение в обновлении мобильного приложения сразу и новой функциональности мобильной подписи, и самого ключа ЭП. Для клиента все происходит бесшовно, в режиме онлайн. При этом банк может попросить клиента ознакомиться и согласиться с офертой на использование мобильной подписи. Подписать оферту можно с использованием уже действующей для клиента пары «логин и пароль», или, например, с использованием идентификатора сессии. Этот способ наиболее удобен, однако имеет свои особенности с точки зрения рисковой модели, в силу отсутствия «Акта признания открытого ключа», который упрощает разбор конфликтной ситуации в случае инцидента.

Третий, «компромиссный» способ подключения сочетает в себе два предыдущих, то есть ключи ЭП появляются в смартфоне вместе с новой функциональностью приложения, а «Акт признания ключа» подписывается в электронном виде. При этом будет достаточно простой электронной подписи (например, с использованием кода из SMS). В таком случае у вас есть подтверждение от клиента о том, что он сформировал ключевую пару и ознакомился со значением открытого ключа. Этот способ является наиболее приемлемым для большинства категорий клиентов.

Второй и третий способ подключения к системе формирования мобильной подписи лучше всего подходит для систем ДБО с интегрированным SDK PayControl. Опыт таких проектов мы, конечно же, тоже готовы вам предоставить. При этом, вы получите в свое распоряжение опыт всех наших аналогичных проектов, включая шаблоны юридических и организационно-распорядительных документов, а само подключение будет проходить по многократно апробированной процедуре.

При использовании второго и третьего способа подключения , где физически отсутствует подписанный вручную акт признания ключа, необходимо учитывать так называемый «риск первой операции», о котором мы поговорим с вами позже.

0
Комментарии
Читать все 0 комментариев
null