Сегодня в банковском обслуживании ожидания клиентов, пользующихся мобильными технологиями, существенно повысились. Технологический скачок повлек за собой рост моментально доступных сервисов, что, в свою очередь, определило требования пользователей. Банки, которые активно развивают мобильные возможности, предлагают опции предоставления финансовой информации в реальном времени, а также новейшие достижения мобильных технологий.
По данным облачного вычислительного центра Salesforce, который базируется в США, почти половина респондентов из числа молодежи (поколение Y, или миллениалов) ответила, что хочет получать банковские SMS-оповещения. Из 285 пользователей на такие оповещения подписались 43% респондентов.
Это один из тех редких типов контента, который пользователи, как правило, готовы лояльно принимать на свой смартфон. Ещё бы! Ведь это деньги, которые, как известно любят счет и контроль.
При управлении или просмотре личных финансов клиент полностью сосредоточен на изучении информации, которая предоставляется через мобильное устройство. Это обусловлено тем, что банк отправляет данные, которые: a) полностью релевантны и b) хорошо защищены. Таким образом, задача банка заключается в том, чтобы объединить плавную интеграцию, безопасность и мобильность.
В последние годы профессиональные платформы SMS тратят массу времени и ресурсов на разработки решений A2P SMS, которые способны справиться с подобными задачами. Таким образом, специализированные провайдеры предоставляют в пользование банкам и владельцам карт системы SMS для предприятий, которые включают широкий спектр мобильных финансовых сервисов.
В результате серьезных исследований и обновлений инфраструктуры безопасности возможности нового поколения SMS-систем были значительно расширены, и теперь они включают опции по доставке незащищенных данных для аутентификации – к примеру, PIN-кодов для банковских карт – в режиме реального времени. Такой тип защищенного процесса SMS (SSMS) во многом близок к стандартному сервису на основе пиcем.
Все мы помним эти банковские защищенные конверты с PIN-кодами внутри. Эта технология связана с некоторыми рисками, расходами и временем на доставку. Кроме того, владельцы карт не могут пользоваться новыми картами пока не прилетит почтовый голубь. Шутки-шутками, но такие временные интервалы влекут за собой финансовые потери. Обычная почтовая доставка занимает порядка недели, и банки теряют время на предоставление PIN-кода. Такие потери составляют порядка 2% от ожидаемых ежегодных затрат на каждую впервые выпущенную карту. Фактически наши внутренние исследования показали, что в среднем экономия по сравнению со стандартными печатными и отправляемыми по почте данными составляет 40-60% на каждый PIN.
Сегодня с помощью специализированного провайдера столь долгий процесс можно легко заменить удобной мобильной доставкой PIN-кодов.
Все сообщения, которые отправляются через наши SSMS-платформы, доставляются напрямую доверенному телекоммуникационному оператору через коммуникационный канал Payment Card Industry Data Security Standard (PCI DSS) Level 1. Такой защищенный процесс по доставке PIN-кода работает без посредников и обеспечивает безопасность на протяжении всего цикла.
Шифрование RSA 2048-bit, открытые и личные ключи используются для обеспечения безопасности в течение процесса обмена информацией. Клиент запрашивает PIN, предоставляя соответствующие секретные данные – комбинацию секретного слова, номер карты и телефонный номер, которые используются для того, чтобы выбрать корректный PIN. После создания и шифрования PIN-кода он хранится отдельно от мобильного телефона, а секретное слово применяется в процессе пользования картой. В течение этого процесса никто не может восстановить или перехватить PIN-коды для конкретной карты. После успешной доставки PIN-код автоматически удаляется из системы.
Постоянная адаптация систем обнаружения фактов мошенничества для транзакций по кредитным картам ввиду возросшего количества опасных сценариев – основная задача для всех основных игроков в сфере финансов. Однако количество случаев мошенничества может сократиться благодаря использованию подходящих технологий.
Многие владельцы карт путешествуют за границу, и банки, работающие по всему миру, должны обеспечивать проведение многочисленных транзакций на международном уровне. Использование сервисов – таких, как Проверка номера и геолокация – позволяет определять, находится ли клиент в роуминге, и использовать данные для точной оценки рисков мошенничества.
Если попытка осуществления транзакции по карте зарегистрирована за границей, мы можем определить, находится ли мобильный номер клиента в роуминге или нет. Если номер не в роуминге, то пользователь, вероятно, не находится за границей, и законность проведения транзакции вызывает сомнение. Таким образом, используя данные по определению локации банкомата, такая система позволяет банкам осуществлять дополнительную проверку до блокировки кредитной карты с целью предупреждения подобных мошеннических сценариев.
В мире, где мобильные технологии занимают два из трех наиболее частых способов оповещений от банков, предпочитаемых молодой аудиторией, и где 27% полностью полагаются на мобильные банковские приложения, важно, чтобы банки осуществляли постоянную коммуникацию с клиентами на предложенных клиентами условиях. Эти технологии становятся такими же привычными, как голосовая связь или интернет и пользователи ожидают адекватных современным условиям решений от банков.
По данным облачного вычислительного центра Salesforce, который базируется в США, почти половина респондентов из числа молодежи (поколение Y, или миллениалов) ответила, что хочет получать банковские SMS-оповещения. Из 285 пользователей на такие оповещения подписались 43% респондентов.
Это один из тех редких типов контента, который пользователи, как правило, готовы лояльно принимать на свой смартфон. Ещё бы! Ведь это деньги, которые, как известно любят счет и контроль.
При управлении или просмотре личных финансов клиент полностью сосредоточен на изучении информации, которая предоставляется через мобильное устройство. Это обусловлено тем, что банк отправляет данные, которые: a) полностью релевантны и b) хорошо защищены. Таким образом, задача банка заключается в том, чтобы объединить плавную интеграцию, безопасность и мобильность.
В последние годы профессиональные платформы SMS тратят массу времени и ресурсов на разработки решений A2P SMS, которые способны справиться с подобными задачами. Таким образом, специализированные провайдеры предоставляют в пользование банкам и владельцам карт системы SMS для предприятий, которые включают широкий спектр мобильных финансовых сервисов.
В результате серьезных исследований и обновлений инфраструктуры безопасности возможности нового поколения SMS-систем были значительно расширены, и теперь они включают опции по доставке незащищенных данных для аутентификации – к примеру, PIN-кодов для банковских карт – в режиме реального времени. Такой тип защищенного процесса SMS (SSMS) во многом близок к стандартному сервису на основе пиcем.
Все мы помним эти банковские защищенные конверты с PIN-кодами внутри. Эта технология связана с некоторыми рисками, расходами и временем на доставку. Кроме того, владельцы карт не могут пользоваться новыми картами пока не прилетит почтовый голубь. Шутки-шутками, но такие временные интервалы влекут за собой финансовые потери. Обычная почтовая доставка занимает порядка недели, и банки теряют время на предоставление PIN-кода. Такие потери составляют порядка 2% от ожидаемых ежегодных затрат на каждую впервые выпущенную карту. Фактически наши внутренние исследования показали, что в среднем экономия по сравнению со стандартными печатными и отправляемыми по почте данными составляет 40-60% на каждый PIN.
Сегодня с помощью специализированного провайдера столь долгий процесс можно легко заменить удобной мобильной доставкой PIN-кодов.
Как это работает?
Все сообщения, которые отправляются через наши SSMS-платформы, доставляются напрямую доверенному телекоммуникационному оператору через коммуникационный канал Payment Card Industry Data Security Standard (PCI DSS) Level 1. Такой защищенный процесс по доставке PIN-кода работает без посредников и обеспечивает безопасность на протяжении всего цикла.
Шифрование RSA 2048-bit, открытые и личные ключи используются для обеспечения безопасности в течение процесса обмена информацией. Клиент запрашивает PIN, предоставляя соответствующие секретные данные – комбинацию секретного слова, номер карты и телефонный номер, которые используются для того, чтобы выбрать корректный PIN. После создания и шифрования PIN-кода он хранится отдельно от мобильного телефона, а секретное слово применяется в процессе пользования картой. В течение этого процесса никто не может восстановить или перехватить PIN-коды для конкретной карты. После успешной доставки PIN-код автоматически удаляется из системы.
Технологии безопасности
Постоянная адаптация систем обнаружения фактов мошенничества для транзакций по кредитным картам ввиду возросшего количества опасных сценариев – основная задача для всех основных игроков в сфере финансов. Однако количество случаев мошенничества может сократиться благодаря использованию подходящих технологий.
Многие владельцы карт путешествуют за границу, и банки, работающие по всему миру, должны обеспечивать проведение многочисленных транзакций на международном уровне. Использование сервисов – таких, как Проверка номера и геолокация – позволяет определять, находится ли клиент в роуминге, и использовать данные для точной оценки рисков мошенничества.
Если попытка осуществления транзакции по карте зарегистрирована за границей, мы можем определить, находится ли мобильный номер клиента в роуминге или нет. Если номер не в роуминге, то пользователь, вероятно, не находится за границей, и законность проведения транзакции вызывает сомнение. Таким образом, используя данные по определению локации банкомата, такая система позволяет банкам осуществлять дополнительную проверку до блокировки кредитной карты с целью предупреждения подобных мошеннических сценариев.
В мире, где мобильные технологии занимают два из трех наиболее частых способов оповещений от банков, предпочитаемых молодой аудиторией, и где 27% полностью полагаются на мобильные банковские приложения, важно, чтобы банки осуществляли постоянную коммуникацию с клиентами на предложенных клиентами условиях. Эти технологии становятся такими же привычными, как голосовая связь или интернет и пользователи ожидают адекватных современным условиям решений от банков.
Поделиться с друзьями
ggo
Из статьи осталось неясным, как связаны между собой некие приватные ключи и SMS на телефонах.
То что карточные процессинги не хранят пин, понятно.
То что в карточном процессинге где-то лежат приватные ключи, которые участвуют в авторизации пинов, тоже понятно.
Но причем здесь SMS на телефонах?
SMS-ки ходят по обычным условным sms-сным протоколам. Приватность обеспечивается только на уровне инфраструктуры. Соответственно доступ к sms-кам имеют все те, кто имеет доступ к инфраструктуре. Т.е. в связке Банк-Оператор это несколько десятков или сотен человек. Понятно, что есть сертификация PCI DSS. Но те, кто надеется, что наличии сертификации PCI DSS автоматически гарантирует недоступность пинов — они несколько самонадеянны.
В целом, тенденция использования SMS-ок вместо бумажных конвертов удручает. С конвертами хотя бы понятно, кто физически имеет доступ в помещение с принтером.
serkon
Попросил технического эксперта Infobip написать ответ.
Ниже его комментарий:
«В стандартный процесс доставки, подразумевающий распечатку и доставку до локального отделения банка, вовлечено множество людей, что существенно повышает риски вскрытия конверта и срок доставки. Мы же предлагаем автоматизировать данный процесс, причем кодовое слово, необходимое для активации, возможно внести автоматически путем отправки „смс“.
В данном случае мы полностью исключаем доступ третьих лиц к данным, необходимым для верификации пользователя, включая сотрудников банка. На нашей платформе данные сообщения не логируются. Т.е. журнал аудита предоставляет нам полную информацию касательно того, кому из клиентов банка и в какой момент наша система выполнила верификацию и расшифровала, и отправила ПИН от карты, однако сам контент на нашей платформе не хранится.
Единственное слабое звено — между платформой Инфобип и мобильным оператором. Но тут так же присутствуют плюсы. Даже в случае перехвата данного сообщения — злоумышленнику оно не даст ровным счетом ничего. Мы не передаем ни CCV код с обратной стороны карты, ни информацию о картодержателе, ни срок действия карты или же полный номер карты/счета. Т.е. даже если кто-то увидит смс с текстом „Ваш пин 2525“ — этих данных недостаточно для взлома клиентского счета.
Аналогичным способом у многих банков реализован подобный способ доставки кодов, только голосом через IVR. И скепсиса касательно безопасности данный способ не вызывает. Так почему бы не доставлять через смс?
ggo
ПИНы через IVR тоже удручают, увы.
Объективно подходя к вопросу, телефонные технологии по определению не являются секурными. Их не создавали для этого.
Также можно, например, слать ПИН по электронной почте. В частном случае, тоже можно обеспечить его безопасность со стороны инфраструктуры. Будет ли такой подход в целом правильным?
И сейчас же мы не рассматриваем особенности работы конкретной компании. Мы говорим про технологии. Про их сильные и слабые стороны. Слать ПИН по SMS — не самое лучшее решение с точки зрения безопасности. С точки зрения удобства конечного пользователя — очень может быть, что удобно.
зы
сейчас почти все телефоны обладают функционалом загрузки содержимого телефона в облако.
т.е. пин твоей карты уже лежит где-то в интернете… узас-узас
serkon
Чтобы отправлять PIN по электронной почте, нужно, как минимум, быть уверенным, что данное письмо обойдет все спам фильтры и не будет заблокировано многочисленными файрволами на пути к адресату. И в данном случае мы точно делимся пинкодом с системным администратором домена (в случае корпоративной почты) или с сотрудниками публичного почтового сервиса (google, mail и т.д.).
В случае использования смс/голоса для доставки – уровень безопасности во многом зависит от страны в которой реализовывается сервис и ее законодательства. В идеале, нужно требовать от операторов того же уровня безопасности, не хранения логов и т.д.
Однако, на территории РФ операторы вынуждены хранить логи сообщений. Естественно, в рамках реального клиента, оператор готов идти на встречу (выделение отдельного подключения для данного сервиса, согласования лимитированного списка сотрудников, которые имели бы доступ к мониторингу данного канала и т.д.) Как правило, такие вопросы уже решаются в рамках трехсторонних встреч, исходя из необходимых требований банка.