Народний рейтинг українських банків, страхових компаній і компаній з управління активами і рівень обслуговування в них. Архіви народних рейтингів на Finance.UA.
parenok написав:TAG для авторизации в Интернет-Банкинге нужны: - личный ключ (цифровое значение); - личный пароль (знаете только вы), вводится с помощью виртуальной клавиатуры - отправляется на моб. тел. сообщение с кодом авторизации ...
По сути - калька с другого крупного коммерческого банка Украины.
Только вот вопрос - есть Закон Украины про платежные системы в которых положение про ЕЦП есть. Статья 18 =
Все те 3 кода это класно - только такой момент - как потом банк будет доказывать клиенту что не верблюд и клиент хотел провести именно такой документ?
Ведь все эти ключи и коды не дают возможности однозначно потвердить что клиент к примеру Аль-Каеде хотел послать перевод.
Один украинский государственный банк в своем онлайн-предложении дает защищенные носители RSA ключей на USB и конфликта - что мол клиент код потверждения хотел от совсем другого платежа ввести - нету.
Да, программа ничего, но в названиях у многих партнеров по магазинам Елит, Премиум..., а значит цены могут оказаться такими, что такая скидка ничего не решает. Из опыта - турфирма САМ далеко не из дешевых.
Все правильно говорите. Накрутки на товары и услуги там превышают скидки ( 5 -10 % ) в несколько раз !
Так там же есть и скидки для классиков! Допустим в интернет-магазинах цены достаточно приемлемы! Та и 5% в "Витамине" очень даже хорошо. Думаю стоит попоробовать..
Leks написав:Так там же есть и скидки для классиков! Допустим в интернет-магазинах цены достаточно приемлемы! Та и 5% в "Витамине" очень даже хорошо. Думаю стоит попоробовать..
Честно говоря, выбор и количество точек продаж очень невелик !
parenok написав:TAG для авторизации в Интернет-Банкинге нужны: - личный ключ (цифровое значение); - личный пароль (знаете только вы), вводится с помощью виртуальной клавиатуры - отправляется на моб. тел. сообщение с кодом авторизации ...
По сути - калька с другого крупного коммерческого банка Украины.
Только вот вопрос - есть Закон Украины про платежные системы в которых положение про ЕЦП есть. Статья 18 =
Все те 3 кода это класно - только такой момент - как потом банк будет доказывать клиенту что не верблюд и клиент хотел провести именно такой документ? Ведь все эти ключи и коды не дают возможности однозначно потвердить что клиент к примеру Аль-Каеде хотел послать перевод.
Один украинский государственный банк в своем онлайн-предложении дает защищенные носители RSA ключей на USB и конфликта - что мол клиент код потверждения хотел от совсем другого платежа ввести - нету.
по поводу кальки. Другие "крупные коммерческие банки" тоже не выдумывают велосипед, и многие их сервисы (да и тот, который как бы "скопировал", Укрсиб, уверен тоже) создаются аутсорсинговыми компаниями, не так ли?
По вопросу "как доказать"? Не буду рассказывать сказки, не силен в законодательстве в этой сфере. Но суть следующая: клиенту выдаются средства идентификации (будь то пароль, юсб-токен или еще что-то), за сохранность и неразглашение информации по которым несет ответственность он сам. Поправьте, если не прав?
Leks написав:Так там же есть и скидки для классиков! Допустим в интернет-магазинах цены достаточно приемлемы! Та и 5% в "Витамине" очень даже хорошо. Думаю стоит попоробовать..
Честно говоря, выбор и количество точек продаж очень невелик !
Согласен, можно было и получше! Но тем не менее ничего подобного пока в других банках нету... или я ошибаюсь? В "Привате" к примеру надо обязательно платить карточкой, а здесь нет.
parenok написав:и многие их сервисы (да и тот, который как бы "скопировал", Укрсиб, уверен тоже) создаются аутсорсинговыми компаниями, не так ли?
Нет. Тот крупный коммерский банк все те сервисы сомнительного качества которые имеет - сделал силами собственных разработчиков. Причем часть из них даже запатентовал ( патент a200510280 от 31.10.2005 Опубліковано 10.05.2007, бюл. № 6)
По поводу УкрСиба - наверное им помогала компания Бифит из России, но я не буду утверждать этого наверняка.
parenok написав:клиенту выдаются средства идентификации (будь то пароль, юсб-токен или еще что-то), за сохранность и неразглашение информации по которым ...
Верно. Несет ответственность за сохранность. Но! Средства авторизации должны быть такими,
которые не дают почвы для конфликтов.
К примеру в случае програмного сбоя - банк почему-то решит кодом из СМСки платежку на сумму в 100 раз большую, чем клиент хотел. Или по неправильным реквизитам. Или еще каким-то другим способом - например через фальшивый-фишинговый сайт.
Есть закон Украины и правила НБУ которые допускают цифровую подпись (в виде RSA, а не ECC как для обычных документов). Вот на их основе и надо действовать.
По поводу же выполнения дистанционно полученных платежных поручений без подписи - тут серая область. Потому как по посудите - банк (или недобросовестные банковские сотрудники) имеют все возможности перехватить все 3 кода и сделать что угодно от имени клиента.
Логин - передается как есть, виртуальная клавиатура всего лишь меняет каждую цифру из пина в более длинную комбинацию (по меняющемуся правилу, но которое позволяет возстановить начальный пин если знать переданое клиенту правило), СМС пароль генерируется сами банком (плюс есть возможность замены СИМ карты через многих сотрудников мобильного оператора).
Итог какой - если со счета клиента спишут сумму, но он ну никак не сможет доказать что он этого не делал. Потому как записи в базе данных банка о логине, пароле и потверждении платежи из СМСки - легко подделываются. Равно как и банк не сможет утверждать что это проблеммы на стороне именно клиента была и он виноват был. Это и есть конфликт.
parenok написав:и многие их сервисы (да и тот, который как бы "скопировал", Укрсиб, уверен тоже) создаются аутсорсинговыми компаниями, не так ли?
Нет. Тот крупный коммерский банк все те сервисы сомнительного качества которые имеет - сделал силами собственных разработчиков. Причем часть из них даже запатентовал ( патент a200510280 от 31.10.2005 Опубліковано 10.05.2007, бюл. № 6)
По поводу УкрСиба - наверное им помогала компания Бифит из России, но я не буду утверждать этого наверняка.
parenok написав:клиенту выдаются средства идентификации (будь то пароль, юсб-токен или еще что-то), за сохранность и неразглашение информации по которым ...
Верно. Несет ответственность за сохранность. Но! Средства авторизации должны быть такими, которые не дают почвы для конфликтов.
К примеру в случае програмного сбоя - банк почему-то решит кодом из СМСки платежку на сумму в 100 раз большую, чем клиент хотел. Или по неправильным реквизитам. Или еще каким-то другим способом - например через фальшивый-фишинговый сайт.
Есть закон Украины и правила НБУ которые допускают цифровую подпись (в виде RSA, а не ECC как для обычных документов). Вот на их основе и надо действовать.
По поводу же выполнения дистанционно полученных платежных поручений без подписи - тут серая область. Потому как по посудите - банк (или недобросовестные банковские сотрудники) имеют все возможности перехватить все 3 кода и сделать что угодно от имени клиента.
Логин - передается как есть, виртуальная клавиатура всего лишь меняет каждую цифру из пина в более длинную комбинацию (по меняющемуся правилу, но которое позволяет возстановить начальный пин если знать переданое клиенту правило), СМС пароль генерируется сами банком (плюс есть возможность замены СИМ карты через многих сотрудников мобильного оператора).
Итог какой - если со счета клиента спишут сумму, но он ну никак не сможет доказать что он этого не делал. Потому как записи в базе данных банка о логине, пароле и потверждении платежи из СМСки - легко подделываются. Равно как и банк не сможет утверждать что это проблеммы на стороне именно клиента была и он виноват был. Это и есть конфликт.
аблолютно згоден із даними твердженнями. токен RSA - і просто і безпечно ... ну, і заплатити за нього треба порядку 100грн., проте ймовірність, що хтось несанкціоновано зайде в твій інтернет банкінг і злиє певну суму коштів, якщо токен при тобі - наближається до нуля.
Optimus_ написав:аблолютно згоден із даними твердженнями. токен RSA - і просто і безпечно ... ну, і заплатити за нього треба порядку 100грн.,
Так цена вообще не вопрос. Банк может ее разбить на год или два и арендной плате учитывать. Либо вообще выдавать смарт-карточки за 10-20 грн, а вот ридир - обязанности клиента купить.
Optimus_ написав:проте ймовірність, що хтось несанкціоновано зайде в твій інтернет банкінг і злиє певну суму коштів, якщо токен при тобі - наближається до нуля.
Несовсем верно. Вероятность существует и реальная.
Но! В случае попадения правильно подписанного электроного документа в банк - явна становиться вина клиента, который допустил утерю или несанкционированное пользование его цифровой подписью.
Те токены что есть не гарантируют защиту от теж же троянцев (и та система что сейчас у УкрСиба кстати тоже).
Преимущество в том, что несанкционированое списание средств может быть ТОЛЬКО по вине клиента. Риски у банка почти полностью исключаются.
Но тем не менее ничего подобного пока в других банках нету... или я ошибаюсь? В "Привате" к примеру надо обязательно платить карточкой, а здесь нет.
