vc.ru ищет PHP Middle разработчика
Дарья Верестникова
11

Мобильная подпись. Варианты подключения. Баланс Usability и Security

В прошлый раз мы обсудили различные варианты встраивания платформы PayControl в цифровые каналы банка. Рассказали, что есть возможность использовать на стороне клиента «отдельно-стоящее» мобильное приложение PayControl, а также возможность «встроить» SDK PayControl в мобильное приложение ДБО. Каждый вариант отвечает особенностям банка, портрета его клиентов, а также принятых у него бизнес-процессов. Так же и последующее подключение клиентов к обновленным цифровым каналам — четко соответствует бизнес-процессам и не влечет их перенастройки.

В закладки

Независимо от того, подключаются ли к системе формирования мобильной подписи юридические или физические лица, а также новые клиенты ДБО, или клиенты, уже активно использующие цифровые каналы, платформа PayControl позволит вам организовать для них «бесшовное» и «прозрачное» подключение. Сам этот процесс вы можете плавно «тюнинговать» в зависимости от принятых в банке юридических конструкций и рисковой модели.

Первый, наиболее классический способ заключается в следующем. Клиенты скачивают из Google Play или App Store мобильное приложение и далее начинается процесс его персонализации. Ключи инициализации разбиваются на две части и передаются в мобильное приложение двумя разными каналами: первая часть посредством сканирования QR-кода (из личного кабинета, или даже из запечатанного конверта), а вторая часть — в виде кода, который может быть передан, например, через IVR или e-mail. После того, как ключи инициализации попали в мобильный телефон, генерируется асимметричная ключевая пара. Закрытый ключ, «привязанный» к аппарату остается в смартфоне, а открытый передается в банк. Принципиальным моментом обеспечения юридической значимости является ознакомление и подписание «Акта признания открытого ключа» непосредственно на бумаге. После этого клиенты готовы к работе и получают возможность легко и просто управлять своим счетом.

Такой способ прекрасно подходит для подключения юридических лиц, а также для использования «отдельно-стоящего» мобильного приложения PayControl.

Второй, более легкий для клиента способ, предусматривает получение в обновлении мобильного приложения сразу и новой функциональности мобильной подписи, и самого ключа ЭП. Для клиента все происходит бесшовно, в режиме онлайн. При этом банк может попросить клиента ознакомиться и согласиться с офертой на использование мобильной подписи. Подписать оферту можно с использованием уже действующей для клиента пары «логин и пароль», или, например, с использованием идентификатора сессии. Этот способ наиболее удобен, однако имеет свои особенности с точки зрения рисковой модели, в силу отсутствия «Акта признания открытого ключа», который упрощает разбор конфликтной ситуации в случае инцидента.

Третий, «компромиссный» способ подключения сочетает в себе два предыдущих, то есть ключи ЭП появляются в смартфоне вместе с новой функциональностью приложения, а «Акт признания ключа» подписывается в электронном виде. При этом будет достаточно простой электронной подписи (например, с использованием кода из SMS). В таком случае у вас есть подтверждение от клиента о том, что он сформировал ключевую пару и ознакомился со значением открытого ключа. Этот способ является наиболее приемлемым для большинства категорий клиентов.

Второй и третий способ подключения к системе формирования мобильной подписи лучше всего подходит для систем ДБО с интегрированным SDK PayControl. Опыт таких проектов мы, конечно же, тоже готовы вам предоставить. При этом, вы получите в свое распоряжение опыт всех наших аналогичных проектов, включая шаблоны юридических и организационно-распорядительных документов, а само подключение будет проходить по многократно апробированной процедуре.

При использовании второго и третьего способа подключения , где физически отсутствует подписанный вручную акт признания ключа, необходимо учитывать так называемый «риск первой операции», о котором мы поговорим с вами позже.

{ "author_name": "Дарья Верестникова", "author_type": "self", "tags": ["\u0434\u0430\u0448\u0430\u0432\u0434\u0435\u043b\u0435","verestnikova","safetech","paycontrol"], "comments": 0, "likes": 1, "favorites": 0, "is_advertisement": false, "subsite_label": "unknown", "id": 129647, "is_wide": true, "is_ugc": true, "date": "Mon, 25 May 2020 20:35:37 +0300", "is_special": false }
Объявление на vc.ru
0
Комментариев нет
Популярные
По порядку

Комментарии