EMV OTP - опыт использования в системе Интернет-Банк (NOMOS-Link) НОМОС-БАНК «НОВАЯ МОСКВА» (Закрытое Акционерное О бщество) Апрель 2007 Александр Базанов. - презентация

1

2 EMV OTP - опыт использования в системе Интернет-Банк (NOMOS-Link) НОМОС-БАНК «НОВАЯ МОСКВА» (Закрытое Акционерное О бщество) Апрель 2007 Александр Базанов

3 Интернет-Банк и его перспективы 44% - офисы банка; 90% - пользователи банкоматов; 42% - активные пользователи Интернет-Банка. Россия Нидерланды Площадь кв.км кв.км Население > млн. чел>16 млн. чел.

4 Интернет-Банк и его перспективы Высокие темпы проникновения дистанционного банковского обслуживания (в том числе Интернет- Банкинга) позволяют говорить о данных услугах как об основном поле конкурентной борьбы банков в ближайшие 5 лет

5 Интернет-Банк и его перспективы Несмотря на возрастающее количество банков, предоставляющих клиентам новый удаленный сервис, темпы проникновения услуг остаются низкими, в том числе из-за опасений российского потребителя, связанных с: «сложностью» использования «отсутствием» подтверждения об Интернет-оплате услуг (напр. ЖКХ) «рискованностью» операций (мошенничество)

6 Существует 3 ступени дистанционного обслуживание клиентов : Клиент удаленно производит только основные операции: просмотр остатка по счету, получение выписок. Поддержка периодических поручений на оплату счетов, например за коммунальные услуги, позволяет организовать автоматическую оплату, при которой отсутствует предварительное авансирование - такой вид поручений все более востребован потребителем - себестоимость операции при дистанционном обслуживании в 16 раз ниже, чем при обслуживании клиента в отделении. Клиент контролирует счета и операции по пластиковым картам, банковские переводы, оплату услуг, коммунальные платежи. Может осуществлять событийные платежи и регулярные (длительные) поручения на оплату услуг Клиент удаленно производит: просмотр остатка по счету, контролирует счета и операции по пластиковым картам, банковские переводы, производит оплату услуг, коммунальных платежей

7

8

9 oПотребность клиентов совершать финансовые операции посредством системы Интернет - Банк. Введение Предпосылки проекта : oМиграция на карты с микропроцессором ; oОпыт реализации подобных проектов другими банками. Сопутствующие проекты :

10 обеспечить безопасность совершения финансовых операций ; обеспечить простоту функционирования системы, простоту понимания клиентом требований безопасности ; добиться возможности совершения финансовых операций из любой точки, имеющей выход в сеть Интернет ; оптимизировать затраты, связанные с управлением ключевыми элементами, их сопровождением и т.п. Введение Цели проекта :

11 Стандарты и спецификации EMV OTP – One-Time Password MCHIP- MasterCard CAP - Chip Authentication Program VSDC - Visa DPA Dynamic PassCode Authentication DPA Dynamic PassCode Authentication

12 осуществлять проверку подлинности карты ; осуществлять проверку полномочий держателя ; формировать одноразовый пароль ; формировать подпись транзакции. ЕМV – One-Time Password Технология EMV-OTP позволяет:

13 Криптограмма, сформированная картой в виде OTP, создается с использованием секретного ключа карты. ЕМV – One-Time Password Проверка подлинности карты:

14 В процессе совершения операции у клиента запрашивается PIN, который проверяется картой; Результат проверки участвует в создании OTP, который передается в Банк. ЕМV – One-Time Password Проверка полномочий держателя:

15 Текущий счетчик транзакций ATC участвует в создании OTP. ЕМV – One-Time Password Формирование одноразового пароля

16 Параметры транзакции участвуют в создании OTP. ЕМV – One-Time Password Формирование подписи транзакции:

17 Сценарий осуществления операции Держатель вставляет карту в картридер; Картридер запрашивает у держателя PIN; Картридер обращается к карте для проверки PIN. Если PIN неверен, и текущий счетчик попыток ввода PINa исчерпан, транзакция прерывается; Если PIN верен,картридер запрашивает у карты криптограмму. Карта, используя данные ATC, данные транзакции, переданные карте терминалом, формирует одноразовый пароль. Держатель вводит пароль в соответствующее ему поле в окне Интернет-Банка, который доставляет транзакционную информацию на хост Банка.

18 ЕМV – One-Time Password Challenge OTP Smart Card Diversified Key Smart Card Diversified Key CVR ATC 3DES

19 Карта ЕМV; Картридер; Web- сервер; Сервер авторизации; «Крипто» сервер. OTP и Интернет-Банк Элементы схемы:

20 OTP и Интернет-Банк Регистрация клиента в системе

21

22

23

24 OTP и Интернет-Банк Регистрация клиента в системе

25

26

27 Спасибо за внимание. Вопросы? Александр Базанов EMV OTP - опыт использования в системе Интернет-Банк