Дарья Верестникова
К сожалению не вижу здесь пиара. Но немного удивляет инфоповод, который не привнес технологичности, а догнал рынок. Это и подсвечивается. При этом я искренне рада, что ребята получили сертификат. Это действительно не просто и все клиенты Sign.me этого очень ждали. Могу лишь поздравить с победой. Вместе проще качать рынок
Конечно все гладко не бывает) У первой версии myDSS 1.0, сертифицированной в далеком 2018 году, вообще отметка 1,6, что уж... 5 лет назад, первый сертифицированный мобильный КЭП в России, миллионы пользователей... Ох, трудное было время, не то что сейчас
Я имею наипрямейшее отношение к этой дискуссии и этому сервису)
НЭП можно выдать удаленно - и это ее ОГРОМНОЕ преимущество) и это я сказала) Но Вы, к сожалению, не слышите. Не забудьте каршерингу с юридической точки зрения посоветовать КЭП)
И еще раз повторюсь - используйте КЭП - ради Бога) Хоть в nopaper) и Сервисы вам только благодарны будут) Больше денег заработают) Реально) Всем бы многофункциональным сервисам таких клиентов, как Вы - топящих за КЭП)
P.S. Да материтесь сколько кгодно) Мне то что) Вы ж себя дискредитируете, не меня) Вон сколько сил тратите на холивар, к которому отношения не имеете. Как Вам завидую - много времени свободного) Вот у меня, к сожалению, нет, поэтому разложив суть - покидаю данную переписку
1. Как прочитала, так и ответила. Могу и 2ю мировую обсудить - она тоже давно прошла
2. Я по сути разложила с точки зрения закона. Видите риски для себя - Ваше право. Риски есть ВЕЗДЕ. Я как безопасник говорю - не бывает 100% безопасности. Это первое правило мира. И в КЭПе тоже есть риски. Вопрос баланса риска, удобства использования и стоимости. Именно поэтому аж на законодательном уровне существует не только КЭП, а еще НЭП и даже ПЭП - для разных задач, целей, людей. Так что стоимость - это один из очень важных аргументов. Особенно, если Вы бизнесмен и считаете деньги. Исходя из того, что для Вас это аргументом не является - осмелюсь сделать вывод, что Вы трудитесь в иной сфере деятельности. Для меня вот стоимость - всегда весомый аргумент)
3. Хотите - покупайте КЭП. Никто Вам не запрещает. Все будут только больше рады, я это даже уже написала. Намного больше рады)
4. С матом в публичном пространстве можете на своей странице в ВК комментировать. Даже ФБ уже банит. Не стоит пытаться говорить умные речи вперемешку с матом - сразу снижает уровень аргументации. Просто искренний совет
1. Согласна полностью. Поэтому я лично больше за облачные КЭП, но ФСБ пока другого мнения
2. Мало где используется. И насколько я знаю - несертифицировано
3. Насколько я знаю - несертифицировано
4. Классная штука. Но работает только на текст, на транзакции (из того что я встречала), а на пдф, например, нет.
"Но там, похоже, не КЭП, либо банк выступает УЦ, что, конечно, имеет право на жизнь."
Фраза вообще не корректная)
Что такое КЭП?
КЭП имеет две характеристики:
1) сертифицированное ФСБ средство подписи
2) Сертификат Аккредитованного УЦ.
Так вот, myDSS - это сертифицированное средство подписи) Используется примерно... ВЕЗДЕ)) Как альтернатива токену)
Первая версия, которая была сертифицирована ФСБ действительно была не без проблем. Но не из-за самого средства, а из-за того, как использовали его УЦ. Сейчас постабильнее.
Рекомендую ознакомиться с матчастью) Если что - обращайтесь, я вам все с радостью расскажу)
Уфффф, ну вы все в одну кучу) Удаленная идентификация для чего?) По какому закону? Где фактура то?)
Раз фактуры нет - я ее сама разложу, с вашего позволения))
ЭП регулируется 63-ФЗ. Так вот, разбираемся)
КЭП по ЭТОМУ закону выдается только:
- очно
- при использовании рбочего ранее выданного КЭП
- при использовании ЕБС (ну этого явно никто не сделал еще).
А вот НЭП - может выдаваться удаленно))) Вообще без проблем)
Разберем конфликт. Вася говорит: "я ничего не подписывал".
ОК. НЭП однозначно докажет, что подписывал именно Вася и именно с конкретного устройства - на то он и НЭП (ассиметричная криптография и все дела). Если телефон был у соседа - это проблема Васи, и ни чья больше. Как логин-пароль, пинкод от карты, cvv и пр.
Конфликт действительно может быть. Что подписывал Вася - докажет сам НЭП. Но тут встанет только один вопрос - а реально ли Вася получал НЭП по собственному желанию и соглашался ли на это.
А на этот вопрос ответят АРТЕФАКТЫ) В nopaper это: liveness и фото паспорта, данные которого проверяются на валидность по базам налоговой, МВД, СМЭВ и пр. Устанете доказывать, что это двойник, который, который на 5 минуточек взял у вас ваш же телефон, выпустил туда подпись и подписал документы, вернув на место паспорт)
Вы абсолютно правы, что при очной идентификации можно выдать КЭП. И, кстати, даже в мобилку. И, кстати, даже в nopaper. Но не слишком ли вам дорого это обойдется?) Да и зачем? Если в большинстве случаев и договоров достаточно использовать НЭП и его можно сделать безопасным - прекрасно)
А вообще, если Вы купите КЭП для мобилки - nopaper будет только рад) Ибо КЭП дороже) Ради Бога) На любой вкус и цвет, как говорится)
Планируется все в одно. На первом этапе два
Вы абсолютно правы! Безопасность - главное.
Nopaper создан безопасниками для безопасности и удобства. А вот попытки непрофильных айтишников сделать документооборот на смсках или пушах в угоду простоте реализации - вот тут кроется самый страшный риск. Но, к сожалению, не все это понимают и просто лепят что попало…
А где подпись будет валидна - зависит от сервиса. неквалифицированные подписи валидны в рамках договорных отношений. квалифицированные - везде. Мобильную ЭП можно внедрить для любого сервиса и любого УЦ
Если они это позиционируют, как госсервис - то должны бы отображать. Но опять-таки - не сделано.
Больше похоже на фишинг, а не на внутренний фрод. Поэтому и залогиниться не получалось, ибо попытка была на фишинговой странице. Если так, то это не вина банка, а вопрос уже к полиции
Социальная инженерия - это один из способов. Перехват SS7, перевыпуск симкарт, фишинг, автозалив и прочее - это все уже давно, давнее соц инженерии. Поэтому смс и пуш без контроля целостности и авторства - уже давно понятный неоправданый риск.
Николай, здравствуйте! "Для чего" - мы раскрывали во всех остальных сообщениях. А здесь именно так
Спасибо, учту)
Добрый день, Анна!) Меня зовут Дарья) я ИБшник) Представляю SafeTech и Nopaper)
Очень приятно, что нас читают профессионалы) К сожалению, по моей практике в ИБ, обычные люди зачастую не различают НЭП, ПЭП, и зачастую даже КЭП, зато знают слово "усиленная" (хотя оно уже давно не фигурирует в 63-ФЗ и является исключительно жаргонизмом). А в ноупейпере аж несколько видов подписи предусматривается) И, поскольку Nopaper все-таки массовый продукт, там «популярно» и написано) Никакой тайны и попытки ввести в заблуждение)
Для тех, кто в теме, как Вы – могу ответить, что туда встроены несколько средств подписи для поддержки разных типов подписей: PayConfirm для НЭП, myDSS (тоже наша разработка, совместная с КриптоПро, за лицензии и сертификацию не переживайте) для НЭП и КЭП (все зависит от внедрения), и даже поддержка токенов. Для «массовой» подписи для основного типа пользователей используется PayConfirm (так экономически дешевле), в некоторых b2b внедрениях и myDSS со всеми вытекающими очной идентификации, подписи заявления на выпуск серта и пр.
Если у Вас есть желание – можем отдельно побеседовать, я все расскажу и покажу) Но повторюсь, на сайте специально написано, чтобы непрофессионалов не грузить) А с профессионалами всегда рады пообщаться лично) Снимем все вопросы) Обращайтесь)