Мобильная подпись. Варианты подключения. Баланс Usability и Security
В прошлый раз мы обсудили различные варианты встраивания платформы PayControl в цифровые каналы банка. Рассказали, что есть возможность использовать на стороне клиента «отдельно-стоящее» мобильное приложение PayControl, а также возможность «встроить» SDK PayControl в мобильное приложение ДБО. Каждый вариант отвечает особенностям банка, портрета его клиентов, а также принятых у него бизнес-процессов. Так же и последующее подключение клиентов к обновленным цифровым каналам — четко соответствует бизнес-процессам и не влечет их перенастройки.
Независимо от того, подключаются ли к системе формирования мобильной подписи юридические или физические лица, а также новые клиенты ДБО, или клиенты, уже активно использующие цифровые каналы, платформа PayControl позволит вам организовать для них «бесшовное» и «прозрачное» подключение. Сам этот процесс вы можете плавно «тюнинговать» в зависимости от принятых в банке юридических конструкций и рисковой модели.
Первый, наиболее классический способ заключается в следующем. Клиенты скачивают из Google Play или App Store мобильное приложение и далее начинается процесс его персонализации. Ключи инициализации разбиваются на две части и передаются в мобильное приложение двумя разными каналами: первая часть посредством сканирования QR-кода (из личного кабинета, или даже из запечатанного конверта), а вторая часть — в виде кода, который может быть передан, например, через IVR или e-mail. После того, как ключи инициализации попали в мобильный телефон, генерируется асимметричная ключевая пара. Закрытый ключ, «привязанный» к аппарату остается в смартфоне, а открытый передается в банк. Принципиальным моментом обеспечения юридической значимости является ознакомление и подписание «Акта признания открытого ключа» непосредственно на бумаге. После этого клиенты готовы к работе и получают возможность легко и просто управлять своим счетом.
Такой способ прекрасно подходит для подключения юридических лиц, а также для использования «отдельно-стоящего» мобильного приложения PayControl.
Второй, более легкий для клиента способ, предусматривает получение в обновлении мобильного приложения сразу и новой функциональности мобильной подписи, и самого ключа ЭП. Для клиента все происходит бесшовно, в режиме онлайн. При этом банк может попросить клиента ознакомиться и согласиться с офертой на использование мобильной подписи. Подписать оферту можно с использованием уже действующей для клиента пары «логин и пароль», или, например, с использованием идентификатора сессии. Этот способ наиболее удобен, однако имеет свои особенности с точки зрения рисковой модели, в силу отсутствия «Акта признания открытого ключа», который упрощает разбор конфликтной ситуации в случае инцидента.
Третий, «компромиссный» способ подключения сочетает в себе два предыдущих, то есть ключи ЭП появляются в смартфоне вместе с новой функциональностью приложения, а «Акт признания ключа» подписывается в электронном виде. При этом будет достаточно простой электронной подписи (например, с использованием кода из SMS). В таком случае у вас есть подтверждение от клиента о том, что он сформировал ключевую пару и ознакомился со значением открытого ключа. Этот способ является наиболее приемлемым для большинства категорий клиентов.
Второй и третий способ подключения к системе формирования мобильной подписи лучше всего подходит для систем ДБО с интегрированным SDK PayControl. Опыт таких проектов мы, конечно же, тоже готовы вам предоставить. При этом, вы получите в свое распоряжение опыт всех наших аналогичных проектов, включая шаблоны юридических и организационно-распорядительных документов, а само подключение будет проходить по многократно апробированной процедуре.
При использовании второго и третьего способа подключения , где физически отсутствует подписанный вручную акт признания ключа, необходимо учитывать так называемый «риск первой операции», о котором мы поговорим с вами позже.