pay control что это
Мобильная подпись PayCоntrol. Разберемся в любой ситуации
При выборе решений и технологий для формирования электронной подписи очень важно обращать внимание насколько развитыми будут возможности разбора конфликтных ситуаций. Это необходимо как для того, чтобы исключить юридические риски, возникающие в случае оспаривания клиентом его операции, так и для того, чтобы в случае возникновения инцидента установленным порядком предоставить регулятору всю необходимую информацию. Что в этом отношении предлагает мобильная электронная подпись?
Платформа PayControl реализует электронную подпись на основе «асимметричной криптографии», или, как говорят специалисты, «криптографии с открытым ключом». Напомним, что асимметричные криптографические алгоритмы предполагают использование пары ключей: «открытого» и «закрытого». Закрытый ключ служит для выработки электронной подписи, открытый – для ее проверки. При использовании PayControl ключ формирования электронной подписи хранится в защищенной области на мобильном устройстве пользователя и с помощью этого ключа на основе реквизитов операции, уникальных признаков смартфона и ряда других аргументов собственно и формируется мобильная электронная подпись. Это, в каком-то смысле, «роднит» PayControl с системами формирования ЭП, основанными на использовании USB-токенов — фактически смартфон клиента ДБО превращается в «аналог» такого токена. Более того, процедуры разбора конфликтных ситуаций при использовании PayControl также будут аналогичны процедурам, привычным для систем с USB-токенами.
В платформе PayControl предусмотрен полноценный АРМ разбора конфликтных ситуаций (АРМ РКС). На основе оригинала подписываемого документа или подтвержденной транзакции, значения сформированной мобильной электронной подписи и уникальных признаков смартфона пользователя, он позволяет вынести обоснованное решение: верна ли электронная подпись или неверна, а также определить множество сопутствующих параметров, например геолокацию в момент подписи, скоринг устройства и т.д. Конечно же, любая финансовая организация может самостоятельно разработать такую утилиту проверки подписи или привлечь для этого внешних опытных разработчиков. Но в случае использования PayControl в этом нет необходимости — вместе с готовым и апробированным АРМ РКС вы получаете четко формализованные и прописанные процедуры разбора конфликтных ситуаций, полный комплекс соответствующей документации с образцами и готовыми шаблонами документов. Компания SafeTech готова поделиться с вами опытом реализованных проектов.
Мы всегда с удовольствием говорим, что с использованием технологии PayControl реализованы проекты в 5-и из ТОП-5 и 8-ми из ТОП-10 российских банков, что разработки SafeTech используют более 300 000 юридических лиц и 2 000 000 частных клиентов. Говорим, что PayControl сделал для клиентов – физических лиц доступным такой уровень безопасности, который был ранее характерен для ДБО юридических лиц. Что работа пользователей ДБО стала проще, чем при использовании SMS, только еще надежнее и безопаснее. А АРМ РКС позволил сделать процедуру разбора конфликтных ситуаций быстрой и прозрачной для всех сторон. К слову, за все годы использования PayControl ни одного инцидента к настоящему моменту так и не произошло.
Следует признать, что у PayControl все-таки есть один недостаток. Легкость его внедрения и эксплуатации, простота его использования для клиентов и для самого банка создает впечатление, что такую систему можно легко и просто разработать самостоятельно. Особенно часто такие мысли возникают у крупных банков с мощными коллективами разработчиков. Тем не менее, это не так. Такое впечатление обманчиво. И об этом мы поговорим с вами в другой раз.
PayControl Classic 4+
SafeTech Ltd
Снимки экрана (iPhone)
Описание
PayControl – это приложение для мобильного телефона, позволяющее пользователю подписывать свои транзакции в системе Интернет-банкинга без использования дополнительных устройств.
Никаких дополнительных скретч-карт или криптокалькуляторов. Никакой зависимости от наличия сотовой связи и скорости доставки SMS.
PayControl предоставляет пользователю возможность убедиться в корректности данных транзакции и сформировать код подтверждения независимо от используемого компьютера.
Система PayControl была разработана с учетом запросов и пожеланий служб информационной безопасности и бизнес подразделений российских банков. Безопасность решения основана на лучших практиках построения систем подтверждения электронных документов, в сочетании с максимальным удобством использования для клиента Банка.
Что нового
— Исправления и улучшения
Конфиденциальность приложения
Разработчик SafeTech Ltd не сообщил Apple о своей политике конфиденциальности и используемых им способах обработки данных. Подробные сведения доступны в политике конфиденциальности разработчика.
Нет сведений
Разработчик будет обязан предоставить сведения о конфиденциальности при отправке следующего обновления приложения.
PayControl Classic 4+
SafeTech Ltd
Снимки экрана (iPhone)
Описание
PayControl – это приложение для мобильного телефона, позволяющее пользователю подписывать свои транзакции в системе Интернет-банкинга без использования дополнительных устройств.
Никаких дополнительных скретч-карт или криптокалькуляторов. Никакой зависимости от наличия сотовой связи и скорости доставки SMS.
PayControl предоставляет пользователю возможность убедиться в корректности данных транзакции и сформировать код подтверждения независимо от используемого компьютера.
Система PayControl была разработана с учетом запросов и пожеланий служб информационной безопасности и бизнес подразделений российских банков. Безопасность решения основана на лучших практиках построения систем подтверждения электронных документов, в сочетании с максимальным удобством использования для клиента Банка.
Что нового
— Исправления и улучшения
Конфиденциальность приложения
Разработчик SafeTech Ltd не сообщил Apple о своей политике конфиденциальности и используемых им способах обработки данных. Подробные сведения доступны в политике конфиденциальности разработчика.
Нет сведений
Разработчик будет обязан предоставить сведения о конфиденциальности при отправке следующего обновления приложения.
Ваши идеи. Наши технологии. Для миллиардов пользователей
Масштабирование
Развивайте свой бизнес по всему миру, используя нашу платформу.
Итерации
Проводите эксперименты и тестирования, чтобы подготовить приложение для запуска и дальнейшего использования.
Статистика
Используйте детальную информацию и данные, имеющие практическое значение, чтобы принимать правильные решения.
Что нового в Google Play
Рассказываем новости с Саммита для разработчиков Android. Узнайте о новых функциях и инструментах, которые помогут вам добиться успеха на нашей платформе.
Создавайте качественные приложения и игры
Хотите добиться долгосрочного успеха? Повышайте производительность приложения и качество контента, а также улучшайте интерфейс и функции.
Будьте уверены в своем продукте
Выбирайте подходящую стратегию и пользуйтесь инструментами, которые позволяют публиковать приложения, управлять ими и успешно выводить их на международный рынок.
Расширяйте аудиторию
Используйте отчеты и инструменты оптимизации, чтобы привлекать больше новых пользователей, и получайте уникальную статистику по тенденциям рынка, доступную только в Google Play.
Легко монетизируйте свои продукты
Запустите платное приложение, предложите цифровой контент или подписку, чтобы получать стабильный доход.
Повышайте показатели вовлеченности и удержания пользователей
Удерживайте пользователей благодаря нашим инструментам для вовлечения и статистике.
Дополнительные ресурсы
Запись в блоге
Что нового в Google Play
Рассказываем новости с Саммита для разработчиков Android. Узнайте о новых функциях и инструментах, которые помогут вам добиться успеха на нашей платформе.
ИСТОРИИ РАЗРАБОТЧИКОВ
Добейтесь успеха с помощью Google Play
Публикуйте приложения и игры для пользователей со всего мира и развивайте бизнес в Google Play.
Подпишитесь на новости Google Play для разработчиков
PayControl
Содержание
PayControl – решение для электронной подписи в смартфоне, которое позволяет клиентам подтверждать свои операции, создаваемые в любых цифровых каналах (Интернет-банкинг, мобильный банкинг, операции CNP, телефонный банкинг (Private-bank) и других). Может работать как в виде отдельного приложения для смартфона, так и встраиваться непосредственно в приложение мобильного банкинга.
PayControl предоставляет пользователю возможность убедиться в корректности данных операции или электронного документа и сформировать подпись независимо от используемого устройства. Никаких дополнительных скретч-карт или криптокалькуляторов. Никакой зависимости от наличия сотовой связи и скорости доставки SMS. Использование PayControl нисколько не сложнее, чем звонок с мобильного телефона.
Интеграция с Avanpost FAM и Avanpost Web SSO
Продукты компании Аванпост для аутентификации пользователей в корпоративных ресурсах (Avanpost FAM) и внешних приложениях (Avanpost Web SSO) расширили ассортимент доступных факторов аутентификации за счет интеграции с платформой мобильной электронной подписи PayControl. Об этом стало известно 22 декабря 2020 года.
Теперь в Avanpost FAM и Avanpost Web SSO при входе в Windows VPN и Windows RDP наряду с push-уведомлениями в мессенджеры доступно подтверждение аутентификации через мобильное приложение PayControl. Этот метод применим и для других систем (веб, десктопных и RADIUS), подключаемых к Avanpost FAM и Avanpost Web SSO и требующих доставки фактора аутентификации по альтернативному каналу связи. Комплексное решение значительно повышает удобство многофакторной аутентификации для пользователей.
Приложение PayControl доступно для установки из App Store и Google Play на устройства iOS и Android. Решение PayControl готово к размещению в on-premise инфраструктуре, поэтому может быть легко интегрировано в ИТ-ландшафт любой организации.
Интеграция в мобильное приложение «МИнБанк Бизнес-онлайн»
ПАО «Московский Индустриальный банк» (ПАО «МИнБанк») интегрирует технологию PayControl в мобильное приложение системы дистанционного банковского обслуживания (ДБО) для корпоративных клиентов «МИнБанк Бизнес-онлайн». Об этом банк сообщил 30 ноября 2020 года. Подробнее здесь.
Соответствие PayControl v5 ОУД4
27 октября 2020 года года компания SafeTech сообщила, что в отношении Программного комплекса «PayControl» версии v5 получены положительные результаты анализа уязвимостей по требованиям к четвертому оценочному уровню доверия (ОУД 4) в соответствии с требованиями национального стандарта РФ ГОСТ Р ИСО/МЭК 15408-3-2013.
Анализ уязвимостей прикладного программного обеспечения автоматизированных систем и приложений кредитных и некредитных финансовых организаций предусмотрен Положениями Банка России № 382-П, № 683-П и № 684-П. Данный анализ является обязательным и проводится в соответствии с требованиями национального стандарта РФ ГОСТ Р ИСО/МЭК 15408-3-2013.
Прохождение программным комплексом PayControl, предназначенным для подтверждения операций в системах дистанционного банковского обслуживания и подписи электронных документов, необходимой процедуры анализа уязвимостей, позволит партнерам и заказчикам компании SafeTech, внедрившим PayControl, существенно упростить проведение обязательного анализа своих прикладных систем. Теперь отечественные банки и разработчики систем ДБО во время проведения анализа уязвимостей своих разработок получат полный комплект документов, подтверждающих что интегрируемый программный комплекс PayControl уже прошел необходимый анализ, и сократят объемы собственных испытаний. Таким образом, финансовые организации получат при выборе PayControl дополнительные преимущества.
В составе совместного решения Abanking и SafeTech «Безбумажный офис»
Компании Abanking и SafeTech, резиденты Кластера информационных технологий Фонда «Сколково», представили решение — «Безбумажный офис». Об этом 17 июля 2020 года сообщил Фонд «Сколково»В его основе лежат технологии цифровых сервисов от Abanking и программный комплекс для подтверждения пользователем операций в системе дистанционного банковского обслуживания (ДБО) и электронного документооборота от SafeTech. Подробнее здесь.
Модель PayControl Inform
PayControl Inform — модуль решения PayControl, обеспечивающий рассылку PUSH-сообщений клиентам прикладных систем и сервисов с последующим контролем их доставки на мобильные устройства, и, в случае несостоявшейся доставки, дублированием того же сообщения через SMS-шлюз.
В условиях возрастания количества пользователей Интернет-банкинга и числа мобильных платежей финансовые институты и сервис-провайдеры столкнулись с необходимостью оперативного массового информирования своих клиентов с контролем доставки сообщений на мобильные устройства пользователей. Ранее для решения этой задачи использовались SMS-сообщения, но в настоящее время потребовалась более надежная и эффективная альтернатива. С одной стороны, сообщения SMS перестали соответствовать возросшим требованиям по безопасности — средства перехвата и подмены сообщений, доступные злоумышленникам, получили существенное развитие, а с другой — сами протоколы, используемые при отправке SMS-сообщений изначально не были предназначены для передачи конфиденциальной информации и в настоящее время скомпрометированы. Кроме этого, стоимость использования SMS-канала для информирования клиентов при увеличении количества пользователей и мобильных платежей стала для небольших банков и провайдеров услуг достаточно заметной и не всегда доступной.
2019: Интеграция с Group-IB Secure Bank для защиты от финансового мошенничества
9 октября 2019 года компании Group-IB и SafeTech предложили подход к защите финансовых операций в системах дистанционного банковского обслуживания, основанный на оценке риска пользовательской сессии в режиме реального времени. Объединение продуктов компаний SafeTech PayControl и Group-IB Secure Bank обеспечивает адаптивную аутентификацию пользователя, подтверждение транзакций электронной подписью, а также скоринг устройств клиента в целях обнаружения признаков финансового мошенничества и немедленного реагирования на подозрительное событие.
Со слов разработчиков, интегрированное решение обеспечивает всестороннюю и непрерывную защиту физических и юридических лиц, использующих системы дистанционного банковского обслуживания, снижает нагрузку на колл-центр и антифрод-системы банка, а также делает проведение платежных операций удобным для пользователей.
Group-IB Secure Bank проводит скоринг смартфона, планшета или любого другого устройства, с которого пользователь заходит в мобильное банковское приложение или в личный кабинет на сайте банка. В режиме реального времени устройство «сканируется» для выявления на нем признаков социотехнических атак, кросс-канального платежного мошенничества, подозрительного поведения пользователя, попыток кражи, нелегального использования учетных данных, заражения банковскими троянами или наличия веб-инъекций.
В процессе подписания конкретной финансовой транзакции PayControl получает от системы ДБО данные операции, а от Group-IB Secure Bank – результат скоринга, то есть оценку уровня риска сессий создания и подписания операции. На основании этих данных PayControl «принимает решение», какое количество факторов доступа к ключу подписи запросить у пользователя, и только после их ввода подписывает операцию криптографически стойкой электронной подписью, позволяющей гарантировать авторство и неизменность платежного документа.
Если финансовая операция вызывает подозрения на уровне сессионного анализа (Secure Bank) или транзакционного анализа (антифрод-система), PayControl обязательно запросит дополнительный фактор для электронной подписи, например, биометрического подтверждения или ввод PIN-кода. Исполнение транзакции будет невозможно, если устройство не прошло скоринг и выявлены явные признаки мошенничества. Эти возможности основаны на автоматической оценке уровня риска пользовательских сессий, контроле состояния клиентского устройства и мобильной электронной подписи, контролирующей целостность и авторство подтверждаемого документа.
Разработчики интегрированного решения делают ставку на простоту внедрения: банк получает готовый инструмент для оценки рисков и электронной подписи конкретных финансовых сессий пользователей. Не менее важным является снижение нагрузки на антифрод-системы за счет отсутствия необходимости сопоставления разрозненных данных о транзакции пользователя из системы ДБО и данных об устройстве пользователя и событиях, связанных с осуществлением платежа. К плюсам адаптивного подтверждения платежей также относится прямое снижение затрат на услуги операторов связи (расходы на SMS), экономию за счет уже реализованной интеграции систем друг с другом, на их техническую поддержку и эксплуатацию.
По данным ФинЦЕРТ Банка России количество попыток банковского мошенничества постоянно растет. Так, в 2018 году регулятор зафиксировал 6151 несанкционированную операцию со счетов юридических лиц на общую сумму 1,469 млрд рублей. При этом, по сравнению с предыдущим годом был отмечен рост числа попыток хищений на 631% (в 7,3 раза). Почти половина хищений (46% в 2018 году) произошли в результате получения злоумышленниками доступа к системам ДБО с использованием вредоносного ПО и приемов социальной инженерии.
2015: Описание PayControl
Система PayControl была разработана с учетом запросов и пожеланий служб информационной безопасности и бизнес подразделений российских банков. PayControl предоставляет пользователю возможность убедиться в корректности данных транзакции и сформировать код подтверждения независимо от используемого компьютера.
По информации на сентябрь 2015 года безопасность решения основана на лучших практиках построения систем подтверждения электронных документов, в сочетании с максимальным удобством использования для клиента Банка.
Никаких дополнительных скретч-карт или криптокалькуляторов. Никакой зависимости от наличия сотовой связи и скорости доставки SMS. Использование PayControl нисколько не сложнее, чем звонок с мобильного телефона.