EMV OTP - опыт использования в системе Интернет-Банк (NOMOS-Link) НОМОС-БАНК «НОВАЯ МОСКВА» (Закрытое Акционерное О бщество) Апрель 2007 Александр Базанов

Интернет-Банк и его перспективы 44% - офисы банка; 90% - пользователи банкоматов; 42% - активные пользователи Интернет-Банка. Россия Нидерланды Площадь кв.км кв.км Население > млн. чел>16 млн. чел.

Интернет-Банк и его перспективы Высокие темпы проникновения дистанционного банковского обслуживания (в том числе Интернет- Банкинга) позволяют говорить о данных услугах как об основном поле конкурентной борьбы банков в ближайшие 5 лет

Интернет-Банк и его перспективы Несмотря на возрастающее количество банков, предоставляющих клиентам новый удаленный сервис, темпы проникновения услуг остаются низкими, в том числе из-за опасений российского потребителя, связанных с: «сложностью» использования «отсутствием» подтверждения об Интернет-оплате услуг (напр. ЖКХ) «рискованностью» операций (мошенничество)

Существует 3 ступени дистанционного обслуживание клиентов : Клиент удаленно производит только основные операции: просмотр остатка по счету, получение выписок. Поддержка периодических поручений на оплату счетов, например за коммунальные услуги, позволяет организовать автоматическую оплату, при которой отсутствует предварительное авансирование - такой вид поручений все более востребован потребителем - себестоимость операции при дистанционном обслуживании в 16 раз ниже, чем при обслуживании клиента в отделении. Клиент контролирует счета и операции по пластиковым картам, банковские переводы, оплату услуг, коммунальные платежи. Может осуществлять событийные платежи и регулярные (длительные) поручения на оплату услуг Клиент удаленно производит: просмотр остатка по счету, контролирует счета и операции по пластиковым картам, банковские переводы, производит оплату услуг, коммунальных платежей

oПотребность клиентов совершать финансовые операции посредством системы Интернет - Банк. Введение Предпосылки проекта : oМиграция на карты с микропроцессором ; oОпыт реализации подобных проектов другими банками. Сопутствующие проекты :

обеспечить безопасность совершения финансовых операций ; обеспечить простоту функционирования системы, простоту понимания клиентом требований безопасности ; добиться возможности совершения финансовых операций из любой точки, имеющей выход в сеть Интернет ; оптимизировать затраты, связанные с управлением ключевыми элементами, их сопровождением и т.п. Введение Цели проекта :

Стандарты и спецификации EMV OTP – One-Time Password MCHIP- MasterCard CAP - Chip Authentication Program VSDC - Visa DPA Dynamic PassCode Authentication DPA Dynamic PassCode Authentication

осуществлять проверку подлинности карты ; осуществлять проверку полномочий держателя ; формировать одноразовый пароль ; формировать подпись транзакции. ЕМV – One-Time Password Технология EMV-OTP позволяет:

Криптограмма, сформированная картой в виде OTP, создается с использованием секретного ключа карты. ЕМV – One-Time Password Проверка подлинности карты:

В процессе совершения операции у клиента запрашивается PIN, который проверяется картой; Результат проверки участвует в создании OTP, который передается в Банк. ЕМV – One-Time Password Проверка полномочий держателя:

Текущий счетчик транзакций ATC участвует в создании OTP. ЕМV – One-Time Password Формирование одноразового пароля

Параметры транзакции участвуют в создании OTP. ЕМV – One-Time Password Формирование подписи транзакции:

Сценарий осуществления операции Держатель вставляет карту в картридер; Картридер запрашивает у держателя PIN; Картридер обращается к карте для проверки PIN. Если PIN неверен, и текущий счетчик попыток ввода PINa исчерпан, транзакция прерывается; Если PIN верен,картридер запрашивает у карты криптограмму. Карта, используя данные ATC, данные транзакции, переданные карте терминалом, формирует одноразовый пароль. Держатель вводит пароль в соответствующее ему поле в окне Интернет-Банка, который доставляет транзакционную информацию на хост Банка.

ЕМV – One-Time Password Challenge OTP Smart Card Diversified Key Smart Card Diversified Key CVR ATC 3DES

Карта ЕМV; Картридер; Web- сервер; Сервер авторизации; «Крипто» сервер. OTP и Интернет-Банк Элементы схемы:

OTP и Интернет-Банк Регистрация клиента в системе

OTP и Интернет-Банк Регистрация клиента в системе

Спасибо за внимание. Вопросы? Александр Базанов EMV OTP - опыт использования в системе Интернет-Банк