Мир стремительно развивает цифру: сейчас буквально за минуты удалённо можно сделать многое из того, для чего ещё пару лет назад нужно было самому идти в офис, получать и сканировать бумажные справки, загружать их в личный кабинет или передавать в банк, вручную что-то подписывать, а потом ещё несколько дней ждать ответа.
Теперь наравне с бумажными документами действуют электронные. Цифровой профиль — это сервис Госуслуг, с помощью которого человек при желании может предоставить банкам и другим организациям достоверные данные о себе из государственных систем для получения коммерческих услуг. Это удобно для людей: не нужно никуда нести оригиналы документов, их копии и копии копий. Но что это может значить для банков? Для них Цифровой профиль Госуслуг — новая возможность упростить обслуживание и предлагать персонализированные финансовые продукты.
Команда разработчиков и аналитиков ПСБ стала одной из первых в России, кто увидел потенциал и начал интегрировать Цифровой профиль Госуслуг в свои сервисы. В статье делимся опытом внедрения и на своём примере показываем, как банк может повысить доверие клиентов к цифровым услугам.
Цифровой профиль в деталях
Перед тем как мы расскажем о том, как интегрировались с Цифровым профилем Госуслуг, давайте чуть подробнее объясним, что же он из себя представляет и чем интересен банкам и их клиентам.
Цифровой профиль Госуслуг — это набор сведений о гражданине в государственных информационных системах. Информация в Цифровой профиль поступает с согласия клиента банка из самых разных источников: базы данных МВД, ФНС, СФР и других ведомств. Сам Цифровой профиль развивает и курирует Минцифры России, а банк выступает в роли получателя сведений, который использует их для предоставления услуг гражданам.
Цифровой профиль Госуслуг позволяет банкам получить проверенную информацию и быстрее выполнить запрос клиента, и что особенно ценно — не делая для этого интеграций с каждой отдельной госструктурой.
Важно: у банка нет доступа к внутренним процессам Цифрового профиля, как нет и прямого взаимодействия с базами данных. Всё общение происходит через API Цифрового профиля, а он интегрирован с государственной инфраструктурой и позволяет банку запрашивать только ту информацию, на получение которой пользователь дал согласие.
Если посмотреть на получившуюся архитектуру взаимодействия, которую формирует Цифровой профиль Госуслуг, то в ней:
клиенты — получатели услуг, которые контролируют доступ к своим данным;
банки и другие организации — получатели проверенной информации без посредников и дублирования процессов;
государство — единый поставщик данных, который гарантирует их безопасность, актуальность и полноту.
Кнопку ткнул — и документы сами появляются (нет)
На первый взгляд может показаться, что в тот момент, когда вы запрашиваете документ в мобильном приложении (нажимаете кнопку), нужные данные мгновенно появляются у банка. Но нет: за этим действием скрыта сложная цепочка подтверждений и проверок. Давайте разберём, как этот механизм работает.
Для начала, чтобы работать с Цифровым профилем Госуслуг, банку нужно получить к нему доступ. Нужны сертификация и регистрация, требующие от банка соответствия высоким требованиям информационной безопасности. А без сертификации о доступе к данным Цифрового профиля можно забыть.
Как же выглядит работа системы, когда в неё поступает запрос?
1. Создание запроса. Клиент обращается в банк за услугой (например, хочет открыть вклад).
2. Авторизация клиента. Пользователь заходит в Единую систему идентификации и аутентификации (ЕСИА), используя логин и пароль от портала «Госуслуги». Важно: учётная запись пользователя должна была подтверждённой, иначе система не получит доступ к данным.
3. Подтверждение согласия. После авторизации клиент попадает на специальную страницу, где перечислены данные, к которым банк запрашивает доступ (это могут быть паспорт, сведения о доходах, адрес регистрации и другая информация). Чтобы банк мог получить доступ к каким-либо персональным данным, необходимо разрешение гражданина — владельца этих данных. Пользователь может дать согласие или отказаться, и при отказе банк не получит доступ к запрошенной информации в Цифровом профиле Госуслуг. В таком случае клиент сможет получить услугу обычным путём, придя в офис банка.
4. Формирование запроса. Банк формирует список данных, которые нужны для оказания услуги, и делает запрос на их получение из Цифрового профиля.
5. Обмен данными. Когда запрос от банка получен, система обращается к нужным ведомствам (ФНС, МВД, СФР и другим) и возвращает банку запрошенные сведения по защищённым каналам.
6. Использование данных. Банк быстро получает данные и может определить, предоставлять клиенту услугу или нет. И пользователю хорошо — не нужно ничего заполнять вручную, потому что данные автоматически подставляются в анкету.
Такой механизм делает процесс получения услуг не только удобным, но и безопасным. Банк автоматически получает актуальные, подтверждённые государством документы, а согласие пользователя фиксируется документально. ПСБ уже использует интеграцию с Цифровым профилем в своей работе.
Мы делали, делали… а ради чего?
Интеграция с Цифровым профилем действительно принесла нам много пользы — благодаря ей мы смогли упростить целый ряд работ. Расскажем о некоторых основных моментах.
Благодаря внедрению Цифрового профиля мы повысили скорость получения и точность данных, ведь теперь мы быстро получаем подтверждённые документы от государства. Мы можем использовать их для проверки клиента, а клиент — для подтверждения уровня своего дохода или наличия собственности. Как результат, экономим в среднем по 4 минуты на заполнение клиентской карточки, если получаем данные из Цифрового профиля. И что особенно важно, все эти документы уже проверены, юридически значимы и признаются официальными.
Нам также удалось ускорить процесс заполнения анкет. К моменту подключения к Цифровому профилю любую заявку на услуги в нашем банке можно было оформить онлайн. Но процесс всё равно был неоптимальным: клиенту нужно было сканировать справки, загружать документы вручную. Иногда в анкетах попадались случайные ошибки, это замедляло получение услуг.
С внедрением Цифрового профиля всё стало проще: данные автоматически подтягиваются из «Госуслуг», анкета заполняется быстро и без ошибок. В итоге клиент получает услугу быстрее, а мы экономим время наших операционных специалистов.
Приведём другие примеры пользовательских сценариев, в которых интеграция с Цифровым профилем оказалась особенно полезной:
Оформление предоплаченной карты. Одно из последних нововведений — это возможность получить карту с ограниченным лимитом через упрощённую идентификацию. Предоплаченная карта — это электронное средство платежа, которое позволяет быстро получить деньги и совершать покупки в онлайн-магазинах на небольшие суммы (до 200 тыс. в месяц и до 60 тыс. рублей за одну операцию).
Оформить карту можно через идентификацию в Цифровом профиле. Система подтягивает необходимые данные: ФИО, данные документа, удостоверяющего личность, СНИЛС, адрес регистрации, номер телефона и электронную почту. Такое дистанционное оформление особенно удобно, если человек ещё не является клиентом банка или не может прийти в наш офис. Так с помощью Цифрового профиля человек становится клиентом и получает начальный уровень доступа к интернет-банку. Например, сможет проверять свой баланс.
В будущем мы планируем использовать возможности Цифрового профиля и для оформления дебетовой и кредитной карт. В последнем случае через авторизацию на Госуслугах клиент сможет предоставлять согласие на получение банком справки о доходе. Таким образом, можно будет оформить кредитную карту дистанционно. В офис банка при этом нужно будет прийти только для подтверждения личности.
Расчётный счёт для индивидуальных предпринимателей. Цифровой профиль помог нам упростить работу с юрлицами. Например, мы запустили сценарий, который позволяет открыть расчётный счёт для ИП на основании данных из Цифрового профиля. Здесь действует тот же принцип, что и в сценариях для обычных пользователей — клиент должен дать согласие на передачу данных. В будущем мы планируем добавить и другие функции, например возможность передачи документов и проверки контрагентов.
Но это не весь спектр задач, в которых можно применять интеграцию с Цифровым профилем. В планах на следующий год — сделать так, чтобы информацию о клиенте — паспортные данные, фамилию, адрес регистрации — можно было бы обновить онлайн. Клиентам не нужно будет приезжать в офис банка, а банковские сотрудники сэкономят время для более сложных задач.
С автозаполнением анкеты мы планируем пойти дальше. Мы хотим ускорить процесс оформления карт для компаний, которые являются нашими клиентами по зарплатному проекту. В перспективе процесс будет выглядеть примерно так:
Сотрудник компании-клиента скачивает банковское приложение.
Нажимает на кнопку «Стать клиентом банка через Госуслуги».
Проходит авторизацию в ЕСИА и даёт согласие банку на доступ к Цифровому профилю.
На стороне банка автоматически создаётся карточка клиента.
Таким образом, сотрудник получает карту быстрее, а операционист банка тратит меньше времени при оформлении клиента.
Если говорить о клиентском пути в офисе банка, то и здесь интеграция с Цифровым профилем поможет упростить процедуру как для клиента, так и для сотрудника банка. Раньше человеку нужно было дождаться своей очереди, чтобы получить услугу. Внедрение Цифрового профиля в клиентский путь позволит человеку заполнить анкету уже в очереди, просто отсканировав QR-код на талоне или экране терминала. Когда очередь подойдёт, у менеджера уже будет вся необходимая информация: останется только сверить данные анкеты с паспортом и предложить клиенту подходящий продукт.
Всё классно, но есть нюанс: без доверия не работает
Во всей этой истории с интеграцией с Цифровым профилем есть ещё один очень важный момент — доверие клиентов. Не все пользователи пока готовы давать согласие на передачу сведений о своих документах онлайн, но мы видим, что ситуация уже значительно лучше, чем несколько лет назад. Всё больше клиентов пользуется возможностью заполнить анкету через Цифровой профиль. Сейчас около 65% наших клиентов отправляют заявки через авторизацию на «Госуслугах». А дополняет нашу уверенность положительная динамика использования портала «Госуслуги»: согласно заявлению главы Минцифры Максута Шадаева, уже 95% всех граж��ан старше 14 лет пользуются «Госуслугами».
Как можно повлиять на процесс повышения доверия пользователей к таким системам? Конечно, важную роль играет работа государства по продвижению цифровых систем. Но и банк, в свою очередь, тоже должен делать шаги в этом направлении. И один из важных шагов повышения лояльности пользователей — это обеспечение безопасности при работе с Цифровым профилем.
В основе этой безопасности — многоуровневая схема. Все обмены данными между банком и системой проходят через защищённые каналы с использованием ключей шифрования, а сама передача данных дополнительно защищена со стороны банка от перехвата и несанкционированного доступа.
Доступ к Цифровому профилю регулируется с помощью специальных ключей и сертификатов, прикладываемых к каждому запросу. Все данные шифруются на этапе передачи и хранения в соответствии с требованиями службы безопасности Минцифры и в соответствии с ФЗ №152 «О персональных данных».
Поясним немного глубже. Чтобы безопасно работать с Цифровым профилем, мы изначально генерируем криптографические ключи для нашей информационной системы. На них выпускается сертификат квалифицированной электронной подписи — КЭП, выданный аккредитованным УЦ, с привязкой к нашему ОГРН. Это подтверждает, что все запросы, которые исходят от нашего банка, действительно отправлены нами и мы несём за них юридическую ответственность. Каждый запрос в систему Цифрового профиля мы подписываем этим сертификатом.
Со стороны ЕСИА сертификат заранее зарегистрирован и привязан к учётной записи нашей ИС, иначе подпись просто не прошла бы проверку. ЕСИА работает на стандартных для российского рынка криптоалгоритмах: X.509 для сертификатов, ГОСТ 34.10-2012 для подписи и ГОСТ 34.11-2012 для хеширования. То есть криптографическая цепочка полностью соответствует требованиям регулятора и даёт нужный уровень доверия к передаваемым данным.
С точки зрения авторизации доступ построен на модели OAuth 2.0. В рамках этой схемы мы получаем токены доступа с определённым набором прав. Время действия токена ограничено. Это нужно и для безопасности, и для контроля интеграции — есть понимание, какая система запрашивает данные и в каком контексте.
Запросы в Цифровой профиль идут не напрямую, а через наш внутренний прокси, который подключён к защищённому контуру системы межведомственного электронного взаимодействия (СМЭВ). Дальше запросы передаются на специальный узел внутри защищённой сети — так называемый балансировщик. Он принимает входящие запросы и равномерно распределяет их внутри СМЭВ, чтобы система работала быстро и без перегрузок. Такая схема снижает риски: внешнего доступа к системам нет, весь обмен выполняется внутри доверенной цифровой инфраструктуры государственных компаний. Это обеспечивает стабильность и защиту канала, а также уменьшает количество потенциальных точек атаки.
Отдельно отметим, что мы соблюдаем требования 152-ФЗ «О персональных данных». Это не только про юридические чекбоксы — это значит, что защита обеспечена на всех уровнях, от транспортного шифрования и криптографии до журналирования операций, контроля доступа сотрудников и регулярного аудита.
Авторизоваться в Цифровом профиле может только клиент с подтверждённой учётной записью на «Госуслугах», что обеспечивает нам базовую достоверность личности. Дополнительно к этому система сравнивает ещё и данные при регистрации — это помогает выявить попытки мошенничества, например, если кто-то попытается зарегистрироваться под чужим именем.
Нам также пришлось продумать безопасность работы в так называемой «неавторизованной зоне» — маркетинговой площадке, где любой пользователь, даже не имеющий статуса клиента, может заполнить анкету и отправить её на проверку. В этом случае мы создаем «частичный личный кабинет» с ограниченными возможностями: полноценного банковского обслуживания и подписанных договоров здесь ещё нет, а доступ к услугам будет предоставлен только после подтверждения личности. Это решение позволяет банку безопасно привлекать новых клиентов не в ущерб своим стандартам защиты данных. По нашей внутренней статистике, при работе в «неавторизованной зоне» 72% пользователей выбирают авторизацию через Цифровой профиль.
Заключение
Конечно, если совсем коротко, Цифровой профиль Госуслуг очень многое даёт и банкам, и их клиентам. Даже если взять только наш опыт, то после подключения к Цифровому профилю мы смогли ускорить процессы идентификации и верификации, сократить путь клиента от заявки до услуги. И пусть пока не все готовы разрешать организациям доступ к своим данным в Цифровом профиле, мы снова повторим, что у банков есть всё необходимое, чтобы заслужить доверие. Ведь на нашей стороне — опыт работы с регуляторными требованиями, высокий уровень безопасности и умение управлять персональными данными.
Мир стремительно развивает цифру: сейчас буквально за минуты удалённо можно сделать многое из того, для чего ещё пару лет назад нужно было самому идти в офис, получать и сканировать бумажные справки, загружать их в личный кабинет или передавать в банк, вручную что-то подписывать, а потом ещё несколько дней ждать ответа.
Теперь наравне с бумажными документами действуют электронные. Цифровой профиль — это сервис Госуслуг, с помощью которого человек при желании может предоставить банкам и другим организациям достоверные данные о себе из государственных систем для получения коммерческих услуг. Это удобно для людей: не нужно никуда нести оригиналы документов, их копии и копии копий. Но что это может значить для банков? Для них Цифровой профиль Госуслуг — новая возможность упростить обслуживание и предлагать персонализированные финансовые продукты.
Команда разработчиков и аналитиков ПСБ стала одной из первых в России, кто увидел потенциал и начал интегрировать Цифровой профиль Госуслуг в свои сервисы. В статье делимся опытом внедрения и на своём примере показываем, как банк может повысить доверие клиентов к цифровым услугам.
Цифровой профиль в деталях
Перед тем как мы расскажем о том, как интегрировались с Цифровым профилем Госуслуг, давайте чуть подробнее объясним, что же он из себя представляет и чем интересен банкам и их клиентам.
Цифровой профиль Госуслуг — это набор сведений о гражданине в государственных информационных системах. Информация в Цифровой профиль поступает с согласия клиента банка из самых разных источников: базы данных МВД, ФНС, СФР и других ведомств. Сам Цифровой профиль развивает и курирует Минцифры России, а банк выступает в роли получателя сведений, который использует их для предоставления услуг гражданам.
Цифровой профиль Госуслуг позволяет банкам получить проверенную информацию и быстрее выполнить запрос клиента, и что особенно ценно — не делая для этого интеграций с каждой отдельной госструктурой.
Важно: у банка нет доступа к внутренним процессам Цифрового профиля, как нет и прямого взаимодействия с базами данных. Всё общение происходит через API Цифрового профиля, а он интегрирован с государственной инфраструктурой и позволяет банку запрашивать только ту информацию, на получение которой пользователь дал согласие.
Если посмотреть на получившуюся архитектуру взаимодействия, которую формирует Цифровой профиль Госуслуг, то в ней:
клиенты — получатели услуг, которые контролируют доступ к своим данным;
банки и другие организации — получатели проверенной информации без посредников и дублирования процессов;
государство — единый поставщик данных, который гарантирует их безопасность, актуальность и полноту.
Кнопку ткнул — и документы сами появляются (нет)
На первый взгляд может показаться, что в тот момент, когда вы запрашиваете документ в мобильном приложении (нажимаете кнопку), нужные данные мгновенно появляются у банка. Но нет: за этим действием скрыта сложная цепочка подтверждений и проверок. Давайте разберём, как этот механизм работает.
Для начала, чтобы работать с Цифровым профилем Госуслуг, банку нужно получить к нему доступ. Нужны сертификация и регистрация, требующие от банка соответствия высоким требованиям информационной безопасности. А без сертификации о доступе к данным Цифрового профиля можно забыть.
Как же выглядит работа системы, когда в неё поступает запрос?
1. Создание запроса. Клиент обращается в банк за услугой (например, хочет открыть вклад).
2. Авторизация клиента. Пользователь заходит в Единую систему идентификации и аутентификации (ЕСИА), используя логин и пароль от портала «Госуслуги». Важно: учётная запись пользователя должна была подтверждённой, иначе система не получит доступ к данным.
3. Подтверждение согласия. После авторизации клиент попадает на специальную страницу, где перечислены данные, к которым банк запрашивает доступ (это могут быть паспорт, сведения о доходах, адрес регистрации и другая информация). Чтобы банк мог получить доступ к каким-либо персональным данным, необходимо разрешение гражданина — владельца этих данных. Пользователь может дать согласие или отказаться, и при отказе банк не получит доступ к запрошенной информации в Цифровом профиле Госуслуг. В таком случае клиент сможет получить услугу обычным путём, придя в офис банка.
4. Формирование запроса. Банк формирует список данных, которые нужны для оказания услуги, и делает запрос на их получение из Цифрового профиля.
5. Обмен данными. Когда запрос от банка получен, система обращается к нужным ведомствам (ФНС, МВД, СФР и другим) и возвращает банку запрошенные сведения по защищённым каналам.
6. Использование данных. Банк быстро получает данные и может определить, предоставлять клиенту услугу или нет. И пользователю хорошо — не нужно ничего заполнять вручную, потому что данные автоматически подставляются в анкету.
Такой механизм делает процесс получения услуг не только удобным, но и безопасным. Банк автоматически получает актуальные, подтверждённые государством документы, а согласие пользователя фиксируется документально. ПСБ уже использует интеграцию с Цифровым профилем в своей работе.
Мы делали, делали… а ради чего?
Интеграция с Цифровым профилем действительно принесла нам много пользы — благодаря ей мы смогли упростить целый ряд работ. Расскажем о некоторых основных моментах.
Благодаря внедрению Цифрового профиля мы повысили скорость получения и точность данных, ведь теперь мы быстро получаем подтверждённые документы от государства. Мы можем использовать их для проверки клиента, а клиент — для подтверждения уровня своего дохода или наличия собственности. Как результат, экономим в среднем по 4 минуты на заполнение клиентской карточки, если получаем данные из Цифрового профиля. И что особенно важно, все эти документы уже проверены, юридически значимы и признаются официальными.
Нам также удалось ускорить процесс заполнения анкет. К моменту подключения к Цифровому профилю любую заявку на услуги в нашем банке можно было оформить онлайн. Но процесс всё равно был неоптимальным: клиенту нужно было сканировать справки, загружать документы вручную. Иногда в анкетах попадались случайные ошибки, это замедляло получение услуг.
С внедрением Цифрового профиля всё стало проще: данные автоматически подтягиваются из «Госуслуг», анкета заполняется быстро и без ошибок. В итоге клиент получает услугу быстрее, а мы экономим время наших операционных специалистов.
Приведём другие примеры пользовательских сценариев, в которых интеграция с Цифровым профилем оказалась особенно полезной:
Оформление предоплаченной карты. Одно из последних нововведений — это возможность получить карту с ограниченным лимитом через упрощённую идентификацию. Предоплаченная карта — это электронное средство платежа, которое позволяет быстро получить деньги и совершать покупки в онлайн-магазинах на небольшие суммы (до 200 тыс. в месяц и до 60 тыс. рублей за одну операцию).
Оформить карту можно через идентификацию в Цифровом профиле. Система подтягивает необходимые данные: ФИО, данные документа, удостоверяющего личность, СНИЛС, адрес регистрации, номер телефона и электронную почту. Такое дистанционное оформление особенно удобно, если человек ещё не является клиентом банка или не может прийти в наш офис. Так с помощью Цифрового профиля человек становится клиентом и получает начальный уровень доступа к интернет-банку. Например, сможет проверять свой баланс.
В будущем мы планируем использовать возможности Цифрового профиля и для оформления дебетовой и кредитной карт. В последнем случае через авторизацию на Госуслугах клиент сможет предоставлять согласие на получение банком справки о доходе. Таким образом, можно будет оформить кредитную карту дистанционно. В офис банка при этом нужно будет прийти только для подтверждения личности.
Расчётный счёт для индивидуальных предпринимателей. Цифровой профиль помог нам упростить работу с юрлицами. Например, мы запустили сценарий, который позволяет открыть расчётный счёт для ИП на основании данных из Цифрового профиля. Здесь действует тот же принцип, что и в сценариях для обычных пользователей — клиент должен дать согласие на передачу данных. В будущем мы планируем добавить и другие функции, например возможность передачи документов и проверки контрагентов.
Но это не весь спектр задач, в которых можно применять интеграцию с Цифровым профилем. В планах на следующий год — сделать так, чтобы информацию о клиенте — паспортные данные, фамилию, адрес регистрации — можно было бы обновить онлайн. Клиентам не нужно будет приезжать в офис банка, а банковские сотрудники сэкономят время для более сложных задач.
С автозаполнением анкеты мы планируем пойти дальше. Мы хотим ускорить процесс оформления карт для компаний, которые являются нашими клиентами по зарплатному проекту. В перспективе процесс будет выглядеть примерно так:
Сотрудник компании-клиента скачивает банковское приложение.
Нажимает на кнопку «Стать клиентом банка через Госуслуги».
Проходит авторизацию в ЕСИА и даёт согласие банку на доступ к Цифровому профилю.
На стороне банка автоматически создаётся карточка клиента.
Таким образом, сотрудник получает карту быстрее, а операционист банка тратит меньше времени при оформлении клиента.
Если говорить о клиентском пути в офисе банка, то и здесь интеграция с Цифровым профилем поможет упростить процедуру как для клиента, так и для сотрудника банка. Раньше человеку нужно было дождаться своей очереди, чтобы получить услугу. Внедрение Цифрового профиля в клиентский путь позволит человеку заполнить анкету уже в очереди, просто отсканировав QR-код на талоне или экране терминала. Когда очередь подойдёт, у менеджера уже будет вся необходимая информация: останется только сверить данные анкеты с паспортом и предложить клиенту подходящий продукт.
Всё классно, но есть нюанс: без доверия не работает
Во всей этой истории с интеграцией с Цифровым профилем есть ещё один очень важный момент — доверие клиентов. Не все пользователи пока готовы давать согласие на передачу сведений о своих документах онлайн, но мы видим, что ситуация уже значительно лучше, чем несколько лет назад. Всё больше клиентов пользуется возможностью заполнить анкету через Цифровой профиль. Сейчас около 65% наших клиентов отправляют заявки через авторизацию на «Госуслугах». А дополняет нашу уверенность положительная динамика использования портала «Госуслуги»: согласно заявлению главы Минцифры Максута Шадаева, уже 95% всех граж��ан старше 14 лет пользуются «Госуслугами».
Как можно повлиять на процесс повышения доверия пользователей к таким системам? Конечно, важную роль играет работа государства по продвижению цифровых систем. Но и банк, в свою очередь, тоже должен делать шаги в этом направлении. И один из важных шагов повышения лояльности пользователей — это обеспечение безопасности при работе с Цифровым профилем.
В основе этой безопасности — многоуровневая схема. Все обмены данными между банком и системой проходят через защищённые каналы с использованием ключей шифрования, а сама передача данных дополнительно защищена со стороны банка от перехвата и несанкционированного доступа.
Доступ к Цифровому профилю регулируется с помощью специальных ключей и сертификатов, прикладываемых к каждому запросу. Все данные шифруются на этапе передачи и хранения в соответствии с требованиями службы безопасности Минцифры и в соответствии с ФЗ №152 «О персональных данных».
Поясним немного глубже. Чтобы безопасно работать с Цифровым профилем, мы изначально генерируем криптографические ключи для нашей информационной системы. На них выпускается сертификат квалифицированной электронной подписи — КЭП, выданный аккредитованным УЦ, с привязкой к нашему ОГРН. Это подтверждает, что все запросы, которые исходят от нашего банка, действительно отправлены нами и мы несём за них юридическую ответственность. Каждый запрос в систему Цифрового профиля мы подписываем этим сертификатом.
Со стороны ЕСИА сертификат заранее зарегистрирован и привязан к учётной записи нашей ИС, иначе подпись просто не прошла бы проверку. ЕСИА работает на стандартных для российского рынка криптоалгоритмах: X.509 для сертификатов, ГОСТ 34.10-2012 для подписи и ГОСТ 34.11-2012 для хеширования. То есть криптографическая цепочка полностью соответствует требованиям регулятора и даёт нужный уровень доверия к передаваемым данным.
С точки зрения авторизации доступ построен на модели OAuth 2.0. В рамках этой схемы мы получаем токены доступа с определённым набором прав. Время действия токена ограничено. Это нужно и для безопасности, и для контроля интеграции — есть понимание, какая система запрашивает данные и в каком контексте.
Запросы в Цифровой профиль идут не напрямую, а через наш внутренний прокси, который подключён к защищённому контуру системы межведомственного электронного взаимодействия (СМЭВ). Дальше запросы передаются на специальный узел внутри защищённой сети — так называемый балансировщик. Он принимает входящие запросы и равномерно распределяет их внутри СМЭВ, чтобы система работала быстро и без перегрузок. Такая схема снижает риски: внешнего доступа к системам нет, весь обмен выполняется внутри доверенной цифровой инфраструктуры государственных компаний. Это обеспечивает стабильность и защиту канала, а также уменьшает количество потенциальных точек атаки.
Отдельно отметим, что мы соблюдаем требования 152-ФЗ «О персональных данных». Это не только про юридические чекбоксы — это значит, что защита обеспечена на всех уровнях, от транспортного шифрования и криптографии до журналирования операций, контроля доступа сотрудников и регулярного аудита.
Авторизоваться в Цифровом профиле может только клиент с подтверждённой учётной записью на «Госуслугах», что обеспечивает нам базовую достоверность личности. Дополнительно к этому система сравнивает ещё и данные при регистрации — это помогает выявить попытки мошенничества, например, если кто-то попытается зарегистрироваться под чужим именем.
Нам также пришлось продумать безопасность работы в так называемой «неавторизованной зоне» — маркетинговой площадке, где любой пользователь, даже не имеющий статуса клиента, может заполнить анкету и отправить её на проверку. В этом случае мы создаем «частичный личный кабинет» с ограниченными возможностями: полноценного банковского обслуживания и подписанных договоров здесь ещё нет, а доступ к услугам будет предоставлен только после подтверждения личности. Это решение позволяет банку безопасно привлекать новых клиентов не в ущерб своим стандартам защиты данных. По нашей внутренней статистике, при работе в «неавторизованной зоне» 72% пользователей выбирают авторизацию через Цифровой профиль.
Заключение
Конечно, если совсем коротко, Цифровой профиль Госуслуг очень многое даёт и банкам, и их клиентам. Даже если взять только наш опыт, то после подключения к Цифровому профилю мы смогли ускорить процессы идентификации и верификации, сократить путь клиента от заявки до услуги. И пусть пока не все готовы разрешать организациям доступ к своим данным в Цифровом профиле, мы снова повторим, что у банков есть всё необходимое, чтобы заслужить доверие. Ведь на нашей стороне — опыт работы с регуляторными требованиями, высокий уровень безопасности и умение управлять персональными данными.
Комментарии (4)
AndrewTishkin
18.12.2025 08:21Насколько сложно подружиться с Госуслугами, если ты... не банк?
one1120
18.12.2025 08:21Ничего космически сложного нет.
Бюрократии много.
В спецификациях не все описано.
Разобраться вполне реально.
Alex-ZiX
Интересно, можно ли пользоваться цифровым профилем и не хранить у себя персональные данные, чтобы не заниматься их защитой? Например, я делаю какую то систему и хочу давать людям к ней тестовый доступ на месяц, но только один раз. Мне нужно как-то убедиться в уникальности запросов на тестирование. Могу ли я отправить человека авторизоваться через Госуслуги, а в ответ получить только его уникальный ID без чувствительных данных? Нужно ли в этом случае так же полноценно заниматься интеграцией, или есть какое-то упрощённое АПИ?
LilouX
Наши эксперты предложили такие варианты:
1) Можно попробовать обратиться к Методическим Рекомендациям ЕСИА, в них описан процесс авторизации и способы его использования.
2) Можно и с помощью цифрового профиля попробовать. Набор получаемых данных определяется «мнемоникой типа согласий» (это набор данных, согласия на которые дает клиент). При желании можно сделать такую мнемонику, где будет только идентификатор (сделать это должны будут на стороне цифрового профиля).
Но могут возникнуть проблемы с регистрацией такой системы для использования цифрового профиля, т.к он задумывался как источник персональных данных, а не способ аутентификации.