Мобильная подпись. "Видимая" и "подводная" часть айсберга
Итак, простота встраивания и использования платформы PayControl, простота подключения клиентов к системе ДБО и использования на их мобильных устройствах, простота формирования мобильной подписи транзакций и электронных документов — все это «видимая часть айсберга». Она иногда приводит некоторых экспертов к мысли «сэкономить» и разработать аналогичное решение самостоятельно. А что же скрыто «под водой»?
Во-первых, подчеркну, что сам «айсберг», сам PayControl – это решение для формирования криптографической электронной подписи, которую не заменить «простым прикладыванием» к документу значения ID сессии, «простым прикладыванием» к нему данных пользователя, считанных посредством Touch ID, и Face ID, точно не заменить «автоподстановкой» одноразового кода из SMS или Push-уведомления, и уж совсем точно не заменить «простым нажатием кнопки «Подписать», которое вообще ничего за собой не влечет. Мобильная подпись PayControl является результатом криптографических преобразований подписываемой информации (реквизитов конкретной финансовой транзакции или электронного документа), она формируется с использованием ассиметричных криптографических алгоритмов, с использованием уникальных характеристик конкретного смартфона. Ключи электронной подписи и ключи проверки электронной подписи определенным образом вырабатывают, защищаются, шифруются, к ним определенным образом организуется доступ их владельца. Таким образом, PayControl реализует такую электронную подпись, которая раньше была возможна только на стационарном компьютере с установленным криптопровайдером и USB-токеном.
Во-вторых, PayControl – это не просто «Подписалка». Он включает в себя набор функциональных модулей: мобильной электронной подписи, разбора конфликтных ситуаций, Push – информирования о транзакциях, дополнительной биометрической аутентификации клиентов, раннего предотвращения мошенничества и большого количества других «кубиков» из которых каждый банк собирает свой уникальный сервис. Обычно объем внедрения определяется потребностями конкретного бизнес-заказчика и его клиентов. Для формализации бизнес-требований, выбора оптимального варианта встраивания, развертывания и эксплуатации платформы PayControl мы предоставляем банкам опыт реализованных проектов, полный комплект проектной и технической документации, выделяем отдельную проектную команду и оказываем консультации по всем возникающим вопросам. Мы постоянно совершенствуем платформу, добавляем новые «фишки», адаптируем ее под защиту от новых видов атак и непрерывно повышаем безопасность и функциональность.
В-третьих, даже если «айсбергу» PayControl со всей его «подводной» частью банк предпочтет создать нечто среднее между «подписалкой» и полноценным решением, то для его разработки потребуется профессиональная команда минимум из 7ми человек, включая компетентного криптографа, архитектора информационной безопасности и т.д. Скорее всего часть этой команды придется нанимать под проект и потом их куда-то девать. И самый главный момент здесь в том, что пока ваша команда будет заниматься разработкой модуля подписи, будет простаивать развитие функциональности мобильного и интернет банка, что является принципиальным моментом в конкурентоспособности цифрового канала. Отсутствие фокуса на несвойственном продукте приведет к его быстрому устареванию и перед вами снова возникнет та же самая проблема. Судите сами: рано или поздно будет разработана новая атака, реализуемая новым методом, которую потребуется «закрыть». Если в вашем распоряжении будет даже сильный коллектив разработчиков, но не команда, профессионально занимающаяся безопасностью в цифровых каналах, то это будет проблематично. Вам потребуется изучать разработки злоумышленников, поддерживать, обновлять и сопровождать «компромиссное» решение, по сути, становясь специализированной компанией – разработчиком средств защиты. А выполнение несвойственных функций для любой организации, как мы знаем, экономически целесообразным являться не может.
Мы готовы предоставить вам уже готовую платформу PayControl со всеми ее механизмами защиты, чтобы вы могли сконцентрироваться на профильном бизнесе, на создании удобных и современных цифровых сервисов. В этом наши, российские банки, действительно лучшие в мире! А сделать ваши цифровые каналы максимально безопасными поможем мы.