ДИПЛОМНАЯ РАБОТА
на тему
«ОРГАНИЗАЦИЯ И ПЕРСПЕКТИВЫ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯЮРИДИЧЕСКИХ ЛИЦ (НА ПРИМЕРЕ РОССИЙСКОГО БАНКА»
Содержание
Введение
Глава 1. Современные информационные технологии в сфередистанционного банковского обслуживания
1.1 Понятие, сущность и основныехарактеристики дистанционного банковского обслуживания
1.2 Нормативная база и основные риски дистанционногобанковского обслуживания
1.3 Анализ тенденций развития банковских услуг по дистанционному обслуживанию вРоссии
Глава 2. Современные системы дистанционного банковскогообслуживания юридических лиц
2.1 Особенности использования системы«Банк-Клиент»
2.2 Система «Интернет-Клиент»как наиболее оптимальная форма дистанционного банковского обслуживанияюридических лиц
2.3 Преимущества и недостатки системы«Телефон-Банк»
Глава 3. Направления совершенствования дистанционногобанковского обслуживания на примере «Тусарбанк» ЗАО
3.1 Автоматизированная система«Интернет-Банк»
3.2 Перспективы развития дистанционного банковскогообслуживания на примере ТУСАРБАНК ЗАО
Заключение
Библиографический списокВведение
В начале 21 века российские банки показывают стабильный ростдоходов, клиентуры, конкуренции и разнообразия оказываемых услуг. Это связано сростом экономики России в целом — в основном по причине интенсивных экспортных операций.
Повышенная конкуренция и потенциально высокие доходы — это достаточныепричины для дальнейшего распространения в регионы в виде создания множества филиалови отделений. С развитием технических достижений и технологий конкуренция в банковскойсреде приобретает специфический оттенок: создаются новые рыночные ниши и новые способывоздействия на целевую аудиторию; те банки, которые смогут первыми занять эти нишиили создать новые, имеют большие шансы на успех.
Целью исследования в дипломнойработе является выявление особенностей и перспектив дистанционного обслуживанияюридических лиц, разработка предложений по развитию и совершенствованию каналовудаленного доступа к банковским услугам в российских условиях.
Достижению поставленных целей способствует решение следующих задач:
· исследовать современное понятие и сущность дистанционного банковскогообслуживания юридических лиц;
· обобщить и систематизировать опыт оказания удаленных услуг организациямза рубежом и в России;
· раскрыть существующие каналы удаленного доступа к банковским услугами их особенности;
· выявить особенности правового регулирования данного сегмента банковскойдеятельности;
· проанализировать преимущества, выявить тенденции и особенности, оценитьперспективы развития дистанционного банковского обслуживания в современной России.
Предметом исследования дипломной работы являются различные формыдистанционного банковского обслуживания, предлагаемые банками клиентам — юридическимлицам.
Объектом исследования выступают российские и иные банковскиекредитные организации, которые предоставляют организациям дистанционное управлениеих собственными счетами в режиме реального времени.
Дипломная работа выполнена при исследовании теоретических и практическихразработок отечественных экономистов, изучении законодательных актов РоссийскойФедерации и программ дистанционного обслуживания российских банков.
Глава 1. Современные информационные технологии в сфередистанционного банковского обслуживания1.1 Понятие, сущность и основные характеристики дистанционногобанковского обслуживания
В условиях обострения конкуренции между крупнейшими участникамирынка корпоративных финансовых услуг необходимо применять новые способы формированияконкурентных преимуществ и повышения эффективности деятельности банка.
Одним из важных факторов успеха российскихбанков в стратегическом периоде является их способность управлять издержками и возможностьснижать их за счет внедрения новых технологий и методов обслуживания клиентов. Наиболееэффективными технологиями, которыми могут воспользоваться банки в конкурентной борьбе,являются внедрение различных форм дистанционного обслуживания юридических лиц (ДБО).
ДБО позволяет кредитным организациям,используя различные каналы взаимодействия с клиентами, предоставлять им не толькотрадиционные банковские услуги, реализуемые в любом отделении банка, но и новыепродукты, которые дают возможность на совершенно ином уровне качества удовлетворятьпотребности клиентов.
Понятие «дистанционное банковское обслуживание» несколькошире и включает в себя обслуживание как населения, так и юридических лиц, причемне только «на дому», но и в любом удаленном от банковского офиса месте,где имеется соответствующий канал связи.
В основе ДБО лежит принцип обмена информацией между банком иклиентом с обеспечением должного уровня безопасности и конфиденциальности. Клиентампредоставляется возможность получать информацию о состоянии своих счетов и управлятьими, не прибегая к традиционным визитам в банк, а используя имеющиеся у них подрукой средства телекоммуникации. В наш век бурного развития информационных технологий,глобализации рынков и повышенной тяги потребителей к комфорту предоставление банкомсвоим клиентам таких услуг становится непременным условием сохранения конкурентоспособностибанка.
С понятием «дистанционное банковское обслуживание»тесно связаны также термины «е-bank» (электронный банк) и «виртуальныйбанк». Под электронным, или виртуальным, банком обычно понимают банк, не имеющийтрадиционного офиса, а обслуживающий клиентов посредством телефона, Интернета и,при необходимости, почты. Если услуги по дистанционному совершению определенныхбанковских операций может предоставлять любой банк наряду с традиционным обслуживаниемклиентов в своих офисах, то виртуальный банк, как правило, специализируется именнона обслуживании удаленных клиентов, не тратя деньги на строительство и содержаниеклиентских помещений.
При этом виртуальный банк предоставляет своим клиентам практическиполный набор услуг, оказываемых обычными универсальными банками. Единственный видуслуг, которые не могут самостоятельно оказываться виртуальным банком — это кассовоеобслуживание. Для выдачи наличных своим клиентам виртуальные банки используют сетьбанкоматов и терминалов, принадлежащих другим банкам или, например, банковскомуконсорциуму, в который входит данный виртуальный банк. В услугах по сдаче наличныхклиенты виртуальных банков обычно не нуждаются, а при необходимости используют длязачисления наличных на свои банковские счета другие банки, имеющие широкую сетьотделений.
Широкое внедрение систем ДБО началось за рубежом уже с начала80-х годов, а в отдельных банках и еще ранее. Эволюция систем ДБО основывалась наразвитии средств телекоммуникации и банковских компьютерных технологий. Вначалевозникли системы предоставления банковских услуг по телефону и по модему, а в настоящеевремя наблюдается бум в развитии систем банковского обслуживания через Интернет.К модификациям ДБО можно отнести предоставление банковских услуг с использованиемтелефаксов, пейджеров, сотовых телефонов и видеотелефонов. За рубежом уже имеютсясистемы банковского обслуживания посредством интерактивного телевидения. А корпорацией«Citi Corp» разработан домашний банковский терминал, оказывающий широкийспектр банковских услуг, в том числе выдачу кредитов. Он напоминает большой телефонныйаппарат с экраном и клавиатурой и способен заменить персональный компьютер.
Первые дистанционные банки появились в Великобритании. В 1989 г. Midland Bank учредил First Direct, который начал осуществлять текущие банковские операции в режимедистанционного банка. В настоящее время First Direct является бесспорным лидеромна рынке дистанционных банковских услуг в Европе, обслуживая свыше 500 тыс. клиентов.
Во всех западных странах универсальные банки развивают дистанционныесистемы обслуживания. Так, во Франции первым дистанционным банком стал созданныйв 1987 г. банк Cortal. В 1994 г. группа Paribas учредила дистанционный банк BanqueDirecte по образцу First Direct. Позднее появилось еще несколько дистанционных банков- Credit du Nord, Cetelem, UCB, Cardif и др. Но все же во Франции система дистанционныхбанков менее развита, чем в Великобритании. Так, ведущий французский дистанционныйбанк Cortal имеет всего 25 тыс. клиентов.
В США в настоящее время зарегистрировано около 100 Интернет-банков,занимающихся исключительно дистанционным обслуживанием. Большинство виртуальныхбанков довольно мелкие и уступают крупным банкам по масштабам как обычного, таки электронного банковского бизнеса. Основной движущей силой развития виртуальныхбанков является значительное снижение себестоимости банковских услуг. По оценкамэкспертов, в США себестоимость операции по обработке одного чека снижается с 2 долл.при приеме через кассу банка до 0,7 долл. при передаче данных по закрытой сети,до 0,2 долл. при использовании телефона и до 0,05 долл. при осуществлении даннойоперации через Интернет.
В нашей стране настоящих виртуальных банков пока нет, хотя такиепроекты существуют. Среди систем ДБО наибольшее распространение в России получилисистемы с использованием компьютера, модема и телефонной линии, известные как системы«клиент — банк». Подобный сервис предоставляют своим клиентам — юридическимлицам практически все российские коммерческие банки, за исключением ряда мелкихпровинциальных банков.
В последние годы ведущие столичные и наиболее крупные региональныебанки внедряют также системы телефонного банкинга, Интернет-банкинга и пейджер-банкинга,начинают внедряться системы home banking для населения. Далее рассмотрим подробнееразличные формы дистанционного банковского обслуживания, применяемые российскимибанками.
Дистанционное банковское обслуживание (ДБО) — общий термин для технологий предоставления банковских услуг на основаниираспоряжений, передаваемых клиентом удаленным образом (то есть без его визита вбанк), чаще всего с использованием компьютерных и телефонных сетей. Для описаниятехнологий ДБО используются различные в ряде случаев пересекающиеся по значениютермины: Клиент-Банк, Банк-Клиент, Интернет-Банк, Система ДБО, Электронный банк,Интернет-Банкинг, on-line banking, remote banking, direct banking, home banking,internet banking, PC banking, phone banking, mobile-banking, WAP-banking, SMS-banking,GSM-banking, TV-banking.
Рассмотрим понятия Клиент-Банк, Банк-Клиент, Интернет-Банк, Система ДБО, Электронныйбанк, Интернет-Банкинг, on-line banking, remote banking, direct banking, home banking, internetbanking, PC banking, phone banking, mobile-banking, WAP-banking, SMS-banking, GSM-banking,TV-banking с точки зрения общепринятого понимания:
«Банк-клиент» — общее названиепрограммного обеспечения,организующего удалённое банковское обслуживание и автоматизирующее документооборотмежду банками и их клиентами. Иначе говоря, банк-клиент обеспечивает клиенту удалённоеуправление (без личного визита в банк) своим расчётным счетом, например, включаетв себя возможность отправления платежей и просмотр выписок по счету. К этому определениюобычно относят также direct banking, home banking, Электронный банк. На самом деле это понятие несколькосложнее, далее оно будет изложено в более грамотной трактовке, которая используетсяспециалистами, задействованными в процессе создания, установки и настройки системдистанционного банковского обслуживания.
«Интернет-Клиент для юридических лиц» — это система,которая позволяет клиентам банка дистанционно осуществлять все виды платежных операцийпо своему счету, а также оперативно получать информацию, необходимую для взаимодействияс банком. Работать с системой можно из любой точки мира — достаточно иметь лишьдоступ в Интернет. Очень часто понятия «Банк-Клиент», «Клиент-банк»и «Интернет-Клиент» воспринимаются населением как идентичные, содержащиеодну и ту же смысловую нагрузку.
«Телефонный банкинг» — банковский сервис, основанныйна использовании возможностей телефонов с тональным набором номера для полученияинтересующей информации и осуществления желаемых операций.
Далее рассмотрим эти понятия с точки зрения специалистов, занимающихсянастройкой и сопровождением систем дистанционного банковского обслуживания.
Системы «Клиент-Банк» (PC-banking, remote banking, direct banking, home banking) — системы, доступ к которым осуществляется через персональныйкомпьютер. Банк при этом предоставляет клиенту техническую и методическую поддержкупри установке системы, начальное обучение персонала клиента, обновление программногообеспечения и сопровождение клиента в процессе дальнейшей работы. Системы«Клиент-Банк» обеспечивают полноценное расчетное и депозитарное обслуживаниеи ведение рублёвых и валютных счетов с удалённого рабочего места.
Системы «Клиент-Банк» позволяют создавать и отправлятьв банк платёжные документы любых типов, а также получать из банка выписки по счетам(информацию о движениях на счёте). В целях безопасности в системах «Клиент-Банк»используются различные системы шифрования. Использование систем «Клиент-Банк»для обслуживания юридических лиц до сих пор является одной из наиболее популярныхтехнологий ДБО в России. Системы «Клиент-Банк» принципиально подразделяютсяна 2 типа (толстый клиент и тонкий клиент):
Системы «Банк-клиент» («толстый клиент»,PC-banking,remote banking, direct banking, home banking) — классический тип системыБанк-Клиент. На рабочей станциипользователя устанавливается отдельная программа-клиент. Программа-клиент хранитна компьютере все свои данные, как правило, это платёжные документы и выписки посчетам. Программа-клиент может соединяться с банком по различным каналам связи.Наиболее часто для соединения с банком используется Dial-Up соединение через модемили прямое соединение с Интернетом.
Интернет-Клиент (тонкий клиент) (On-line banking, Интернет-банкинг(Internet banking), WEB-banking) — пользователь входит в систему через Интернетбраузер. Система Интернет-Клиент размещается на сайте банка. Все данные пользователя(платёжные документы и выписки по счетам) хранятся на сайте банка. По технологииИнтернет-Клиент строятся также системы для мобильных устройств — PDA, смартфоны(Мобильный банкинг (mobile-banking). На основе Интернет-Клиент могут предоставлятьсяинформационные сервисы с ограниченным набором функций (Выписка On-Line).
На основе сравнения вышеизложенных определений можно сделатьвыводы о том, что техническая грамотность населения по вопросам дистанционного банковскогообслуживания еще не достигла приемлемой величины и есть смысл её повысить. С другойстороны, для этого необходимо задействовать дополнительные ресурсы как со стороныбанков (дополнительный персонал, время и деньги на обучение), так и со стороны клиентов(дополнительное время, которое в конечном итоге также отражается на финансовом благополучии),тогда как очевидной выгоды эти знания не принесут.
Руководствуясь этими соображениями, большинство решает не тратитьна изучение этого вопроса лишнего времени и оперировать терминами, почерпнутымииз неспециализированных источников, увеличивая при этом риск возможного недопониманияи, как следствие, ошибок при использовании систем ДБО, что приводит к дополнительнымзатратам по времени на распознавание и выяснение причин неполадок как со стороныклиента, так и со стороны банка.
В этих случаях возможно также появление технических рисков (неправильноустановленное программное обеспечение может стать источником ошибок при заполнениии передаче платежных документов и др.), а также рисков безопасности (при неполной/некорректнойустановке система ДБО может быть использована злоумышленниками).1.2 Нормативная база и основные риски дистанционногобанковского обслуживания
Услуги по ДБО регулируются следующими положениями Банка России:
· Положение от 26.03.2007 г. № 302-П «О правилах ведения бухгалтерскогоучета в кредитных организациях, расположенных на территории РФ»
· Положение от 03.10.2002 г. № 2-П «О безналичных расчетах в РФ».
· Положения от 24.04.2008 г. № 318-П «О порядке ведения кассовыхопераций в кредитных организациях на территории РФ» (п.2.8 «Организацияработы с денежной наличностью при использовании банкоматов, электронных кассиров,автоматических сейфов и других программно-технических комплексов»);
· Положения от 23.06.1998 г. № 36-П «О межрегиональных электронныхрасчетах, осуществляемых через расчетную сеть Банка России»;
· Положения от 12.03.1998 г. № 20-П «О правилах обмена электроннымидокументами между Банком России, кредитными организациями (филиалами) и другимиклиентами Банка России при осуществлении расчетов через расчетную сеть Банка России».
· Временное положение от 10.02.1998 г. № 17-П «О порядке приемак исполнению поручений владельцев счетов, подписанных аналогами собственноручнойподписи, при проведении безналичных расчетов кредитными организациями»
Кроме того, необходимо учитывать требования:
· Федерального закона от 10.01.2002 г. № 1-ФЗ «Об электронной цифровойподписи»;
· Стандарта Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационнойбезопасности организаций банковской системы Российской Федерации;
· Письма Банка России от 03.04.2004 № 16-Т „О рекомендациях поинформационному содержанию и организации web-сайтов кредитных организаций в сетиИнтернет“
· Письма Банка России от 07.12.2007 № 197-Т „О рисках при дистанционномбанковском обслуживании“
· Письма Банка России от 31.03.2008 № 36-Т „О рекомендациях поорганизации управления рисками, возникающими при осуществлении кредитными организациямиопераций с применением систем интернет-банкинга“
· Письма Банка России от 30.01.2009 № 11-Т „О рекомендациях длякредитных организаций по дополнительным мерам информационной безопасности при использованиисистем интернет-банкинга“
В законодательстве прописываются следующие понятия:
владелец сертификата ключа подписи — физическое лицо, на имякоторого удостоверяющим центром выдан сертификат ключа подписи и которое владеетсоответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощьюсредств электронной цифровой подписи создавать свою электронную цифровую подписьв электронных документах (подписывать электронные документы);
сертификат средств электронной цифровой подписи — документ набумажном носителе, выданный в соответствии с правилами системы сертификации дляподтверждения соответствия средств электронной цифровой подписи установленным требованиям;
закрытый ключ электронной цифровой подписи — уникальная последовательностьсимволов, известная владельцу сертификата ключа подписи и предназначенная для созданияв электронных документах электронной цифровой подписи с использованием средств электроннойцифровой подписи;
открытый ключ электронной цифровой подписи — уникальная последовательностьсимволов, соответствующая закрытому ключу электронной цифровой подписи, доступнаялюбому пользователю информационной системы и предназначенная для подтверждения сиспользованием средств электронной цифровой подписи подлинности электронной цифровойподписи в электронном документе;
средства электронной цифровой подписи — аппаратные и (или) программныесредства, обеспечивающие реализацию хотя бы одной из следующих функций — созданиеэлектронной цифровой подписи в электронном документе с использованием закрытогоключа электронной цифровой подписи, подтверждение с использованием открытого ключаэлектронной цифровой подписи подлинности электронной цифровой подписи в электронномдокументе, создание закрытых и открытых ключей электронных цифровых подписей;
сертификат ключа подписи — документ на бумажном носителе илиэлектронный документ с электронной цифровой подписью уполномоченного лица удостоверяющегоцентра, которые включают в себя открытый ключ электронной цифровой подписи и которыевыдаются удостоверяющим центром участнику информационной системы для подтвержденияподлинности электронной цифровой подписи и идентификации владельца сертификата ключаподписи;
подтверждение подлинности электронной цифровой подписи в электронномдокументе — положительный результат проверки соответствующим сертифицированным средствомэлектронной цифровой подписи с использованием сертификата ключа подписи принадлежностиэлектронной цифровой подписи в электронном документе владельцу сертификата ключаподписи и отсутствия искажений в подписанном данной электронной цифровой подписьюэлектронном документе;
пользователь сертификата ключа подписи — физическое лицо, использующееполученные в удостоверяющем центре сведения о сертификате ключа подписи для проверкипринадлежности электронной цифровой подписи владельцу сертификата ключа подписи;
информационная система общего пользования — информационная система,которая открыта для использования всеми физическими и юридическими лицами и в услугахкоторой этим лицам не может быть отказано;
корпоративная информационная система — информационная система,участниками которой может быть ограниченный круг лиц, определенный ее владельцемили соглашением участников этой информационной системы.
Электронная цифровая подпись (ЭЦП) — вид аналога собственноручнойподписи, являющийся средством защиты информации, обеспечивающим возможность контроляцелостности и подтверждения подлинности электронных документов (далее — ЭД). ЭЦПпозволяет подтвердить ее принадлежность зарегистрированному владельцу. ЭЦП являетсянеотъемлемой частью ЭД (пакета ЭД).
Также ЭЦП можно определить как реквизит электронного документа,предназначенный для защиты данного электронного документа от подделки, полученныйв результате криптографического преобразования информации с использованием закрытогоключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификатаключа подписи, а также установить отсутствие искажения информации в электронномдокументе;
Владелец ЭЦП — УБР, ВЦ, кредитнаяорганизация (филиал) или другой клиент Банка России, ЭЦП которого зарегистрированав порядке, установленном договором между Банком России и его клиентом.
Электронный платежный документ (ЭПД)- документ, являющийся основанием для совершения операций по счетам кредитных организаций(филиалов) и других клиентов Банка России, открытым в учреждениях Банка России,подписанный (защищенный) ЭЦП и имеющий равную юридическую силу с расчетными документамина бумажных носителях, подписанными собственноручными подписями уполномоченных лици заверенными оттиском печати.
Электронный служебно-информационныйдокумент (ЭСИД) — документ, подписанный (защищенный) ЭЦП и обеспечивающий обменинформацией при совершении расчетов и проведении операций по счетам, открытым вучреждениях Банка России (запросы, отчеты, выписки из счетов, документы, связанныес предоставлением кредитов Банка России, и т.п.).
Пакет электронных документов — одинили более ЭПД и / или ЭСИД, подписанных ЭЦП, при этом каждый ЭПД и / или ЭСИД всоставе пакета не подписывается ЭЦП.
дистанционное банковское обслуживание россия
Подлинность ЭД (пакета ЭД) — положительныйрезультат проверки ЭЦП зарегистрированного владельца, позволяющий установить фактнеизменности содержания ЭД (пакета ЭД), включая все его реквизиты.
Центр сертификации или Удостоверяющий центр (англ. Certification authority,CA) — это организация или подразделение организации,которая выпускает сертификаты ключей электронной цифровой подписи,это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей.Открытые ключи и другая информация о пользователях хранится удостоверяющими центрамив виде цифровых сертификатов.
Центр сертификации — это компонент глобальной службы каталогов,отвечающий за управление криптографическими ключами пользователей.
Открытые ключи и другая информация о пользователях хранится центрамисертификации в виде цифровых сертификатов, имеющих следующую структуру:
· серийный номер сертификата;
· объектный идентификатор алгоритма электронной подписи;
· имя удостоверяющего центра;
· срок годности;
· имя владельца сертификата (имя пользователя, которому принадлежитсертификат;
· открытые ключи владельцасертификата (ключей может быть несколько);
· объектные идентификаторы алгоритмов, ассоциированных с открытыми ключамивладельца сертификата;
· электронная подпись, сгенерированная с использованием секретного ключаудостоверяющего центра (подписывается результат хэширования всей информации, хранящейсяв сертификате).
Отличием аккредитованного центра является то, что он находитсяв договорных отношениях с вышестоящим удостоверяющим центром и не является первымвладельцем самоподписанного сертификата в списке удостоверенных корневых сертификатов.Таким образом, корневой сертификат аккредитованного центра удостоверен вышестоящимудостоверяющим центром в иерархии системы удостоверения. Таким образом аккредитованныйцентр получает „техническое право“ работы и наследует „доверие“от организации выполнившей аккредитацию.
Аккредитованный центр сертификации ключей обязан выполнять всеобязательства и требования, установленные законодательством страны нахождения илиорганизацией проводящей аккредитацию в своих интересах и в соответствии со своимиправилами.
Порядок аккредитации и требования, которым должен отвечать аккредитованныйцентр сертификации ключей, устанавливаются соответствующим уполномоченным органомгосударства или организации выполняющей аккредитацию.
Центр сертификации ключей имеет право:
· предоставлять услуги по удостоверению сертификатов электронной цифровойподписи;
· обслуживать сертификаты открытых ключей;
· получать и проверять информацию, необходимую для создания соответствияинформации указанной в сертификате ключа и предъявленными документами.В настоящеевремя существует большое количество российских удостоверяющих центров, вот некоторыеиз них:
· Удостоверяющий Центр ФГУП НИИ „Восход“
· Удостоверяющий Центр ЗАО „ПФ “СКБ Контур»
· Удостоверяющий Центр ЗАО «Орбита» (Краснодар)
· Удостоверяющий Центр DIP
· ООО Межрегиональный Удостоверяющий Центр
· НП «Национальный Удостоверяющий центр»
· ЗАО «АНК»
· ООО ПНК
· ЗАО Удостоверяющий Центр Ekey.ru (Москва)
· ЗАО Удостоверяющий Центр (Санкт-Петербург)
· Удостоверяющий центр Информационно-аналитического центра Санкт-Петербурга (Санкт-Петербург)
За рубежом также существует массатаких учреждений, ниже перечислены самые популярные и имеющие рейтинг «4 stars» и более
· DigiCert,
· SwissSign,
· StartCom,
· Entrust,
· Trustwave.
В соответствии с письмом от 30.08.2006№115-Т «Об исполнении ФЗ „О противодействии легализации (отмыванию) доходов,полученных преступным путем, и финансированию терроризма“ в части идентификацииклиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания(включая Интернет-банкинг)» Банк России обязал финансовые институты при оказаниитаких услуг идентифицировать не только владельца счета, но и других лиц, которыебудут пользоваться этим счетом.
При этом ответственность банка поданным вопросам регламентирована крайне жестко. Нарушение требований закона можетповлечь применение к Банку ответственности, предусмотренной ФЗ от 10.07.2002 года№86-ФЗ «О Центральном банке Российской Федерации (Банке России)» (рекомендуемыемеры воздействия предусмотрены Письмом Банка России от 13.07.2005 года №98-Т«О методических рекомендациях по применению Инструкции Банка России от 31.03.1997№ 59 „О применении к кредитным организациям мер воздействия при нарушенияхкредитными организациями нормативных правовых актов в области противодействия легализации(отмыванию) доходов, полученных преступным путем, и финансированию терроризма“).
В условиях кризиса обостряется битва за клиента в любой сферебизнеса. И кредитно-финансовые организации здесь не исключение. Жесткая конкуренцияприводит к необходимости улучшать обслуживание клиентов путём ввода новых видовуслуг. Одним из направлений, способствующих предоставлению клиентам максимальногоудобства в их работе, является дистанционное банковское обслуживание, осуществляемоечерез сеть Интернет. Возможность полного управления своим личным счётом при условиипростоты выполнения операций, комфорта и мобильности всегда привлекало и будет привлекатьклиентов.
Однако наряду с удобствами, которые получает клиент, осуществлениеДБО через Интернет становится причиной возникновения угроз нового типа. С однойстороны это связано с тем, что существенно возрастает доля рисков (угроз), контролироватькоторые силами финансовой организации практически невозможно, с другой стороны неменьшую долю рисков (угроз) приносят вопросы организации ДБО.
Основными направлениями распределения рисков в области безопасностидля систем ДБО являются:
вопросы организации эксплуатации систем ДБО;
клиенты, обслуживаемые через Интернет;
каналы связи, используемые для транзакций;
глобальная сеть Интернет.
Внедрение систем ДБО подразумевает вовлечение в процесс специалистовразличных областей знаний финансовых специалистов, специалистов информатизации,информационной безопасности, юристов и др. Отсутствие четко организованного и регламентированноговзаимодействия между различными подразделениями кредитной организации может привестик возникновению уязвимостей, которыми не преминут воспользоваться нарушители. Практикапоказывает, что реализация угроз с использованием имеющихся „слабых мест“в системах ДБО приводит к весьма существенным финансовым потерям и (или) ослаблениюконкурентных преимуществ со стороны кредитной организации.
Анализ инцидентов, происходящих в системах ДБО, позволяет разделитьпотенциальных нарушителей на внешних по отношению к системе ДБО — то есть клиентов(как авторизованных, так и нет, то есть хакеров или преступников) и внутренних- из числа сотрудников банка.
Важно понимать, что информация, циркулирующая внутри систем ДБО,фактически эквивалента реальным деньгам, а значит создать условия, при которых угрозанесанкционированного использования этой информации будет полностью исключена невозможно.Иными словами, всегда найдётся тот, кто захочет завладеть этой информацией. А значит,её нужно защищать.
Правила работы в системах ДБО не являются конфиденциальной информациейи любой желающий может получить к ним доступ. Единственной защитой клиента от злонамеренныхдействий является его идентификационная информация (логин, пароли, криптоключи).Именно за этой информацией идёт охота. В большинстве случаев нарушителю достаточноукрасть идентификационную информацию клиента системы, чтобы получить полный доступк его счёту. Возможностей совершить такую кражу более чем достаточно. Например,с помощью „хакерских“ инструментов, свободно распространяемых в Интернет.
На сегодняшний день, в сети предлагается широкий ассортиментвсевозможных программ для перехвата пароля с помощью троянов, keylogger’ов (программ,считывающих вводимую с клавиатуры информацию) — »шпионов", которые незаметнодля клиента «подсаживаются» на его компьютер и «ждут» указанийот своего создателя (или мастер — машины) для выполнения какой-либо «полезнойнагрузки». Причем хозяин компьютера может в течение весьма длительного срокане подозревать о наличии вредоносного кода на своём ПК ведь даже «активация»такого «шпиона» не всегда приводит к его обнаружению. Это связано с тем,что вместе со «шпионом» «в комплекте» идёт также руткит-технология,позволяющая скрыть следы активности вредоносного кода на ПК жертвы.
Бороться с вредоносными программами и «шпионами» наих нынешнем уровне развития с помощью устаревших технологий сигнатурного анализа,используя для этого мощности компьютера конечного пользователя (что, естественно,связано с замедлением его работы), весьма неэффективно, да и уже практически невозможно.Объясняется это тем, что код «шпионов» и им подобных, как правило, вовсене является вредоносным для операционной системы компьютера, а их быстрая мутацияставит под сомнение возможность сигнатурного анализа. Наиболее адекватным решениемна сегодняшний день видится совместное использование технологий контентной фильтрациии сигнатурного анализа при помощи комплексного шлюзового решения, установленного«на входе» в корпоративную сеть или же, что еще более правильно, используемогов сети провайдера, предоставляющего доступ в Интернет. Такое решение позволяет блокироватьлюбой неразрешенный трафик, генерируемый «шпионом» с персональных компьютеровсети организации, предоставляет средства антивирусной защиты, web-фильтрации и защитыот спама, предотвращает утечку конфиденциальных сведений, и, наконец, позволяетрегулировать время пребывания пользователей в сети Интернет и блокировать их доступк неразрешенным ресурсам.
Сегодня кража паролей и криптоключей с незащищённых носителейявляются обыденным явлением. Но, к сожалению, столь же обыденным можно назвать стремлениенекоторых банков экономить на системах безопасности. А ведь такая экономия зачастуюприводит к многомиллионным потерям и далеко не всегда это потери исключительно клиента.Применение устаревших технологий, таких как организация доступа по «логину»и паролю, использование ключевых носителей не способных защитить от кражи хранящуюсяна них информацию, рост «фишинговых» атак в значительной степени повышаютриск несанкционированного доступа к системам ДБО.
С другой стороны, часто используемые механизмы защиты не могутобеспечить юридическую значимость совершаемых клиентом действий в системе. А этотвопрос в последнее время приобретает всё более важное значение. Как показывает судебнаяпрактика, доказать факт кражи у клиента его идентификационной информации не всегдапредставляется возможным, а вот то, что пароль был известен сотрудникам банка, доказываетсялегко. Суды зачастую встают на сторону клиента, даже если в договорных обязательствахпредъявляются очень высокие требования по обеспечению ими сохранности своей идентификационнойинформации. Объясняется это весьма просто, клиент мог не обладать необходимыми знаниямиили условиями, указанными в договоре, а вот банк должен был предусмотреть адекватныемеры защиты.
Этот факт уже взят на вооружение злоумышленниками. Маскируясьпод добросовестных клиентов, они всё чаще начинают пользоваться недоработками кредитныхорганизаций в технологических и юридических вопросах связанных с эксплуатацией системДБО для отстаивания своей «правоты» в судах. И надо отметить, что, приквалифицированном подходе, попытки эти бывают весьма успешны.1.3 Анализ тенденций развития банковских услуг по дистанционномуобслуживанию в России
Основными областями концентрации рисков, на которые кредитныморганизациям следует обращать внимание, являются следующие:
1) Нормативно распорядительная документация (договоры, регламенты,инструкции по использованию технологий ДБО и др.). Концентрация рисков в даннойзоне связана с тем, что при внедрении и эксплуатации систем ДБО нормативно распорядительнаядокументация должна обеспечить взаимодействие достаточно большого числа разностороннихсотрудников и внешних клиентов. Учитывая различные области производственной деятельностивовлечённых в процесс специалистов, вполне вероятно наличие нестыковок и недостаточнаяпроработанность некоторых вопросов;
2) Отсутствие в кредитных организациях чёткой регламентации процессов,связанных с эксплуатацией систем ДБО, а также механизмов мониторинга адекватностидействующей нормативной документации приводят к расширению состава негативных факторов,которые могут сказаться как на интересах клиентов, так и на финансовом состоянииорганизации;
3) Доступ пользователей к информационным ресурсам через не довереннуюсреду сети Интернет. Концентрация рисков в данной зоне связана, прежде всего, сошибками или злоупотреблениями по предоставлению прав доступа и управлению идентификационнымиданными (паролями, криптоключами) клиентов. Кроме того, существенное влияние оказываютуязвимости программных, аппаратных средств и существующих технологий, а также ростпопыток получения неправомерного доступа к информации, циркулирующей в системахДБО;
4) Использование устаревших технологий создаёт дополнительныериски, вероятность реализации которых с течением времени увеличивается.
Основными направлениями в клиентской части системы, на которыеследует обращать пристальное внимание, являются:
недостаточная проработанность документов, регламентирующих праваи обязанности клиентов при получении услуг;
недостатки в обеспечении информационной безопасности;
недостатки, присущие конкретной банковской технологии ДБО;
недостатки и уязвимости, присущие операционным системам и другимприкладным программам, эксплуатируемым клиентами;
последствия, обусловленные ошибочными действиями персонала кредитнойорганизации или безграмотностью клиентов.
Для кредитной организации направления, нуждающиеся в тщательнойпроработке, следующие:
недостаточная проработанность документов, призванных осуществитьадаптацию довольно большого количества внутренних процессов и процедур к новым условиямдеятельности;
недостатки в вопросах технического обеспечения информационнойбезопасности системы ДБО;
недостаточный анализ при внедрении новой банковской технологии,ориентированной на ДБО через Интернет, анализ тех «неприятностей» (организационных,юридических), которые клиент может доставить кредитной организации;
значительная зависимость кредитной организации от других вовлеченныхв процесс сторон (провайдеров, поставщиков программно-аппаратных средств и др.).
Анализ существующих факторов риска поможет выявить процессы,влияющие на их уровень. Этот анализ должен включать:
разработку и поддержание в актуальном состоянии нормативно распорядительныхдокументов;
поддержание требуемого уровня информационной безопасности, включаяуправление жизненным циклом автоматизированных систем (от разработки до окончанияэксплуатации);
администрирование вычислительной сети и телекоммуникационногооборудования;
управление идентификацией и доступом пользователей к информационнымресурсам;
внедрение новых технологий повышающих безопасность эксплуатациисистем ДБО;
мониторинг сетевого трафика с целью обнаружения вредоносногокода и вторжений.
Для своевременного реагирования на существующие риски кредитныморганизациям необходимо обеспечить выполнение комплекса организационных и техническихмероприятий, направленных на обеспечение безопасного функционирования системы ДБО.Обеспечение удобства работы клиентов в системе, при выполнении такого комплекса,может явиться дополнительным конкурентным преимуществом.
Существует мнение, что усиление безопасности всегда негативносказывается на удобстве работы клиента. Это не верно. Если безопасность не является«параноидальной», а используемые технологии современны и адекватны наличествующимугрозам, обеспечить одновременно удобную и безопасную работу для клиента вполневозможно.
Не менее распространённым является мнение о том, что необходимостьдополнительных расходов за обеспечение безопасности всегда негативно воспринимаетсяклиентами и ведёт к снижению их числа. Как показывает опыт передовых банков, есликлиентам правильно и доходчиво объясняются существующие риски и возможные последствия,то, при наличии выбора механизма защиты, практически всегда выбор делается в пользуболее высокого уровня безопасности. Поэтому внедрение новых безопасных аппаратныхсредств защиты идентификационной информации является насущной необходимостью.
Безусловно, стоимость и эффективность внедряемых технологий должнасоответствовать тем объёмам финансовых операций, которые совершает клиент. Так,в случае небольших объёмов, для физических лиц чаще используются технологии одноразовыхпаролей, которые наряду с применением «запоминаемого» пароля, дают существенноеувеличение безопасности совершаемых операций, при относительно небольшой стоимости.Использование инфраструктуры открытых ключей наряду с ключевыми носителями, способныминадёжно сохранять идентификационную информацию о клиенте, по-прежнему остаётся практическибезальтернативным вариантом для юридических лиц.
В последнее время появились довольно интересные решения в областиповышения безопасности. Так, для технологии ЭЦП на рынке предлагаются смарт-картына базе платформы Java, которые способны выполнить ЭЦП по алгоритму ГОСТ 34-10 2001 г., без использования криптопровайдера. При этом все криптографические операции с секретным ключомвыполняются внутри смарт-карты, секретный ключ её никогда не покидает. Эта технологиясводит к нулю вероятность кражи секретного ключа пользователя. Доступ к самой смарт-картезащищается PIN-кодом и, если она попадёт в посторонние руки, злоумышленнику не удастсяей воспользоваться. Кроме того, данная технология не требует установки, какого либоклиентского программного обеспечения на рабочем месте клиента. Совокупность всехэтих факторов предоставляет клиентам высокую степень безопасности, удобство в работеи, главное, мобильность (клиент может получить доступ к системе практически с любогокомпьютера).
Ещё одной новинкой является технология, расширяющая возможностиприменения средств аутентификации для обеспечения защищенного удаленного доступак информационным ресурсам. Она основана на жесткой фиксации адреса сервера ДБО внутрисмарт-карты. При этом сама смарт-карта имеет «загрузчик» который позволяетв доверенном режиме скачать с сервера необходимое для работы в системе ДБО программноеобеспечение. Клиент, использующий данную технологию, не может быть перенаправленна какой либо другой сервер, при этом доступ к информационным ресурсам организуетсяс использованием SSL-протокола (Secure Sockets Layer — слой защищенных соединений),но без установки клиентского программного обеспечения. Эта технология делает практическиневозможными «фишинг — атаки» и перехват критически важной информации.
Своевременный учёт и анализ реально существующих факторов рискапозволяет разработать, а затем реализовать комплекс организационных и техническихмероприятий, значительно снижающих вероятность реализации угроз информационной безопасности.Недооценка важности технических или организационных составляющих (равно, как и«перекос» в сторону одной из них) одинаково негативно отражается на безопасностисистем ДБО.
Затраты на развитие и модернизацию технологий защиты систем ДБО,оправдывают себя, поскольку с одной стороны позволяют избежать значительных финансовыхпотерь, а с другой способствуют улучшению условий работы клиента. Кроме того, еслисмотреть на вопрос с позиции экономики: эти затраты, по сути, являются инвестициямив развитие конкурентных преимуществ банковских технологий.
Лидирующее место по разработке и поставке программного обеспеченияДБО на рынке на данный момент занимает компания BSS.
Основные системы, которые предлагает Компания своим Клиентам:
«ДБО BS-Client» — комплексное интегрированное решение,включающее в себя весь спектр банковских услуг, предоставляемых за пределами офисабанка юридическим лицам;
«ДБО BS-Client. Частный Клиент» — полнофункциональное тиражируемое решение, обеспечивающее удобное и надежное электронноеобслуживание розничных клиентов банка с помощью Интернет, КПК, киосков самообслуживания,сотовых и обычных телефонов;
«Расчетный Центр Корпорации» (РЦК) — полнофункциональноерешение в сфере автоматизации централизованного управления в режиме реального временикорпоративными финансами предприятий с территориальной и организационной структуройлюбой сложности;
«CORREQTS» -решение для автоматизации фронт-офиса банка (финансовой компании), всей сферы контактас конечным потребителем банковских и финансовых услуг.
Спектр продуктов и услуг Компании постоянно расширяется. СегодняКомпания успешно развивает следующие бизнес-направления:
Системная интеграция — проектные работы по обеспечению комплексноговзаимодействия различных автоматизированных систем — АБС, программного обеспеченияпроцессингового центра, систем дистанционного банковского обслуживания, внешнихплатежных и других информационных систем;
CRM-решения — проектные работы по выработке и реализации полноценной методологии управлениявзаимоотношениями с клиентами на базе продукта Terrasoft CRM Bank;
Учебный центр — профессиональная подготовка IT персонала в сфереДБО и ИТ.
Более 50% крупнейших банков России используют системы, разработанныеКомпанией. В частности, по данным аналитических исследований CNews Analytics за2009 год, 24 из 50 ведущих банков РФ используют подсистему «Интернет-Клиент»системы «ДБО BS-Client», а 28 из 50 — подсистему «Банк-Клиент».В целом, решения Компании эксплуатируются более чем в 1500 кредитных организацияхРоссии и стран СНГ.
В число клиентов Компании входят Банк ВТБ (ОАО), ГПБ (ОАО), ОАО «Россельхозбанк»,ОАО «УРАЛСИБ», ЗАО ЮниКредит Банк, «НОМОС-БАНК» ОАО, ОАО Банк«Петрокоммерц», ОАО «АК БАРС» БАНК, ОАО АКБ «Связь-Банк»,ОАО «ТрансКредитБанк», Банк «Возрождение» (ОАО), «ТУСАРбанк» ЗАО и др.
По данным рейтингов РА «Эксперт» и Интернет-изданияCNews.ru, BSS входит в сотню крупнейших и наиболее активно развивающихся IT-компанийРоссии. Система менеджмента качества BSS сертифицированапо международному стандарту ISO 9001: 2000 (первой среди специализирующихся на решенияхв сфере ДБО).
Система ДБО должна соответствовать основным направлениям развитиябизнеса банка, тех услуг, которые банк планирует предлагать своим клиентам. Работас матрицей клиентов в самых различных измерениях имеет высокий приоритет. Первымшагом в данном направлении является предоставление услуг ДБО в разрезе многофилиальнойструктуры банка.
По данным компании BSS, юридические лица пока остаются основнымипотребителями услуг дистанционного банковского обслуживания. Розница все еще толькоосваивает этот метод работы с банками. Практически во всех отечественных банкахуже давно установлены системы ДБО, которые делают более удобными возможные аспектывзаимодействия с клиентами.
Например, дистанционные услуги юридическим лицам предоставляютпочти 100% российских банков; банков, использующих системы для работы с физическимилицами, в России на порядок меньше, но эта тенденция постоянно меняется в сторонуроста количества используемых систем. По данным компании, наибольшим спросом у банковпользуются системы типа «Банк-Клиент».
Можно заключить, что потенциал рынка по системам этого типа состоитв основном в продвижении этих систем среди других клиентских сегментов и в улучшениикачества предоставляемых услуг. Следовательно, ожидается развитие специализированныхрешений по обслуживанию юридических лиц, где система «Банк-клиент» являетсясоставной частью, например, услуг private-банкинга. Сегмент Интернет-банкинга активноразвивается, и российские банкиры отмечают постоянный рост клиентской базы — от40% в год (по отдельным направлениям этот рост еще выше). Данный рост будет продолжатьсяи в будущем.
В области развития интеграционных решений необходимо отметитьфакт резко возросшей потребности в централизованных системах, позволяющих объединитьраспределенные филиалы и отделения банка, вызванный трендом объединения финансовыхструктур и развития региональных сетей.
Однако основной потенциал развития рынка систем ДБО составляюткредитные организации, планирующие внедрение и активное развитие Интернет-банкингаи систем дистанционного обслуживания физических лиц, а также мобильных решений дляюридических лиц. Именно такие системы и решения будут наиболее динамично развиватьсяв ближайшие годы.
На сегодняшний день уже треть банков уровня ТОР-100 используютсистемы дистанционного банковского обслуживания физических лиц. Среди способов оказанияуслуг ДБО физическим лицам, наряду с распространением Интернет-банкинга, будет всеболее популярен мобильный банкинг. В Западной Европе средства мобильной связи выходятна первое место, обходя персональные компьютеры по популярности использования длясовершения банковских операций.
В условиях отсутствия у значительной части населения России доступак высокоскоростному проводному Интернету внедрение мобильных услуг является эффективнымрешением. Сегодня в подавляющем большинстве случаев банк, строящий инфраструктуруДБО для физических лиц, планирует предоставление мобильных услуг на одном из этаповразвертывания инфраструктуры.
По оценкам экспертов рынка, потенциал развития Интернет-банкингаогромен. Аудитория российской зоны Интернета уже сейчас насчитывает более 30 миллионовпользователей и, согласно данным опросов, каждый третий Интернет — пользовательготов управлять своим банковским счетом через Сеть. И если рынок Интернет — торговлиувеличивается на 30-50% ежегодно, то число абонентов мобильной связи уже существеннопревышает численность населения России. Можно утверждать с высокой степенью вероятности,что мобильные сервисы будут показывать максимальный прирост клиентской базы в ближайшиегоды.
Все эти показатели формируют благоприятную почву для развитиядистанционных платежных сервисов.
Глава 2. Современные системы дистанционного банковскогообслуживания юридических лиц
В настоящее время выделяют три основных способа взаимодействия,с помощью которых банки могут проводить обслуживание юридических лиц в соответствиис их потребностями: это система Банк-клиент, Интернет-клиент и обслуживание клиентовпо телефону. Каждый из перечисленных способов имеет свои положительные и отрицательныестороны, выгоды и риски. Рассмотрим подробнее эти варианты обслуживания.2.1 Особенности использования системы «Банк-Клиент»
Изначально система «банк-клиент» появилась для удаленногообслуживания юридических лиц, для которых мобильность сервиса не так важна, какдля частных клиентов. Банк-клиент — это «толстая» система, которая требуетустановки дополнительного программного обеспечения на компьютер клиента, на котороми ведется база данных. Выход в Интернет нужен только для приема/передачи информации.Данная подсистема позиционируется и как самостоятельный продукт, и как часть комплекснойсистемы и ориентирована, в первую очередь, на средних и крупных и/или консервативныхклиентов банка — юридических лиц, а также на банки-корреспонденты и подразделениябанка (филиалы, отделения, обменные пункты и т.п.)./>Задачи, которые решает система Банк-клиентвыглядят следующим образом:
· Доставка и обработка различных типов платежных и иных формализованныхдокументов в обе стороны;
· Обмен сообщениями произвольного формата (с возможностью включенияфайлов);
· Получение выписок в различных видах и форматах, а также иной информациииз банка;
· Построение расчетных и клиринговых систем в режиме реального или квазиреальноговремени./>Существуют следующие отличительныеособенности системы при её эксплуатации:
· Поддержка любых систем коммуникации (в том числе по протоколу TCP/IP),наличие собственной транспортной подсистемы позволяет работать практически на любомоборудовании с минимальными требованиями, обычно перечисленными в руководстве поэксплуатации.
· Поддержка любых систем криптозащиты (в том числе КриптоПроCSP, Сигнал-Ком(продукты: криптобиблиотека Message Pro и сервер сертификации Notary PRO), Lan Crypto,Верба-OW, Крипто-Си) делает систему Банк-клиента наиболее защищенной (при условиистрогого соблюдения полученных от банка инструкций установки и эксплуатации).
· Абсолютная гибкость системы: добавление/изменение форм ввода/редактированияи печатных форм документов, вида экранов, иконок, панелей инструментов, правил вводаи редактирования, пользователей, меню, подключения справочников, правил их репликациии т.д.;
· Настройка произвольного жизненного цикла любого документа и его статусов,адаптация системы статусов соответственно системам коммуникации и криптозащиты;
· Наличие внутрисистемного предметно-ориентированного языка программирования- гибкость задания правил контроля документов, привязок к бухгалтерским системам,АБС и другим учетным базам данных;
· Удаленное обновление клиентских частей — поддержка массовости внедрениясистемы;
· Привычный и удобный Windows-интерфейс.
Форма и вид рабочего места клиента (включая экранное «меню»)создаются в банке. Клиент получает готовое рабочее место, которое он может изменятьв пределах заданных банком полномочий. Работа клиента ограничивается только вводомдокументов и, при необходимости, импортом\экспортом данных с бухгалтерскими программами,а также просмотром поступивших из банка сообщений.
Импорт/экспорт данных может осуществляться встроенными или внешнимипроцедурами в любые форматы. Импорт осуществляется с одновременным контролем импортируемыхданных (например, на реквизиты банка и ключ счета). У разных клиентов могут бытькак различные меню, так и различные справочники, шаблоны и базы, которые автоматическиреплицируются системой. Количество, взаимосвязь и вид справочников настраиваютсяв банке тем же «Построителем форм», что и визуальные формы, причём каждыйклиент может иметь любое количество индивидуальных справочников.
Инсталляция системы реализована в виде трех частей — инсталляторбанковской части, генератор клиентской части в банке и инсталлятор клиентской частиу клиента, разворачивающий клиентское место, подготовленное в банке. Удобство инадежность инсталляции гарантируются и тем, что в одном цикле происходит настройка«ДБО BS-Client», системы коммуникации и криптозащиты.
В системе организована собственная транспортная подсистема, представленнаяядром подсистемы и произвольным набором настраиваемых шлюзов, реализующих тот илииной способ коммуникации. В стандартной поставке представлены шлюзы TCP/IP, файловый,E-Mail (POP3, SMTP). Шлюз представлен как внешний модуль *. dll, который импортируети экспортирует пакеты информации. Таким образом, любая внешняя система коммуникацииописывается своим шлюзом и легко интегрируется в систему Банк-клиент.
Основными положениями, на базе которых разработана транспортнаясистема, являются:
1. Многопоточность — как ядро транспорта, так и шлюз поддерживают работу с произвольнымнастраиваемым количеством потоков информации. Например, шлюз TCP/IP позволяет одновременнообслуживать любое количество клиентов, ограничиваемое только пропускной способностьюканала связи и аппаратными ресурсами;
2. Поддержка ядром транспорта общих правил работы для каждого подключенногошлюза, например, автоматическое разбиение большого пакета для некоторых типов электроннойпочты;
3. Одновременное использование произвольного количества шлюзов. Таким образомподдерживается работа клиентов по различным каналам связи, существование резервныхканалов и т.д.;
4. Архивация всех входящих и исходящих пакетов по каждому шлюзу, обеспечивающаяглубокое протоколирование и аудит всех событий в системе внешнего документооборота,для достижения абсолютной юридической значимости;
5. Признак «он-лайности» шлюзов. В случае TCP/IP этот признак максимален(клиент получает квитанцию о корректном приеме или даже обработке документа банкомв том же сеансе связи), в случае off-line системы коммуникации (например, электроннойпочты), этот признак минимален. Возможны любые промежуточные варианты этого признака.Статусы документа настраиваются под признак «онлайности», что позволяетпостроить наиболее полную и ясную для клиента систему статусов при произвольнойсистеме коммуникации.
Существует определенная группа данных, используемых всеми участникамисистемы ДБО. Эти данные необходимо поддерживать в одинаковом состоянии у каждогоучастника в целях исключения возможных конфликтов из-за несовпадения данных. Прибольшом количестве участников и данных эта задача становится трудноразрешимой безспециального механизма, обеспечивающего поддержание копий данных у всех участниковв одинаковом состоянии. В «ДБО BS-Client» для этих целей встроена подсистемарепликации.
При создании построителем какого-либо справочника система задаетвопрос — реплицировать ли справочник и на каких клиентов — у разных клиентов возможныразные справочники, разные шаблоны и базы запросов, разные системы коммуникациии криптозащиты. В базе каждого реплицируемого справочника автоматически создаютсятри служебных поля — уникальный номер записи, признак записи — изменена, удаленаили добавлена и дата последнего обновления.
Рассмотрим справочник банков как частный случай общего подхода.Мы можем менять его вручную в банке, а также, по мере необходимости, сверять стандартнойпроцедурой со справочником, поставляемым ЦБ или существующим в АБС. При этом процедурапроставит записям в служебное поле соответствующие статусы. В определяемое настройками«Сервера ДБО» время запускается системная процедура, которая готовит ивысылает указанным клиентам запросы на изменение отдельных записей справочниковсогласно служебных полей. Почтовые статусы этих запросов видны так же, как и длядругих документов, что позволяет банку визуально контролировать процесс репликации(хотя, в штатных случаях, процесс происходит полностью автоматически и в мониторингене нуждается).
При соединении с банком клиент автоматически получает команды- задания на изменение справочников, которые отрабатываются абсолютно незаметнодля клиента. История этих репликаций хранится у клиента и может быть «поднята»в случае необходимости.
Этот механизм может быть применен для автоматического сообщенияклиентам о курсах валют, котировках ценных бумаг и т.д. и не требует никаких усилийне только от клиентов (они видят только результат процедур — измененный справочник),но и от банка (изменив корпоративный справочник как внутрибанковский — вручную иливнешней процедурой — получаем автоматическую и наглядную репликацию на необходимыхклиентов).
Важным механизмом ДБО является удаленноеобновление рабочего места клиента. Этот механизм позволяет вноситьизменения в технологию «на лету» вне зависимости от количества и территориальнойудаленности клиентов. Система Банк-клиент позволяет производить корпоративноеобновление системы (любой сложности, включая изменение экранных форм, структурыбаз, конвертацию, добавление нового справочника или документа) полностью автоматическии незаметно для клиентов (у клиентов обновления производятся непосредственно послеприема почты из банка) с помощью дополнительной подсистемы «Корпоративная база».Таким образом, осуществляются:
1. Автоматическое изменение структур базы данных, настроек просмотра, фильтрови сортировок, а также импорта и экспорта. При изменении состава или наименованияструктур база данных клиента автоматически конвертируется;
2. Автоматическое изменение экранных и печатных форм;
3. Автоматическое изменение параметров клиентского места в соответствии с заданнымиусловиями (удаленное администрирование);
4. Автоматическое изменение исполняемых модулей и динамических библиотек системы«ДБО BS-Client».
Все данные, пересылаемые клиентам для репликации и обновления,подписываются и зашифровываются банком. Их также возможно (персонально для каждогоклиента) разбить на пакеты любой величины, при этом система сама контролирует целостностьприхода всей информации к клиенту. Следует отметить, что подсистема репликации справочниковвстроена в ядро системы, подсистема же «Корпоративная база» служит толькодля автоматического удаленного обновления и администрирования клиентских мест позаданиям из банка и поставляется отдельно.
Стандартная схема работы системы «Клиент — Банк» представленана рисунке 1.
/>
Рис.1. Схема работы системы «Клиент — Банк».
Для того чтобы получить доступ к системе «Клиент — Банк»необходимо иметь компьютер, принтер и модем с телефонной линией (без выделения отдельногономера) или компьютер, подключенный к сети Интернет, как правило, для установкипрограммы не нужно закупать сверхмощные рабочие станции, подойдет обычный офисныйкомпьютер.
В любом банке для заключения договора на ДБО через систему«Клиент — Банк» и получения дистрибутива по ней необходимо будет прийтив клиентский отдел банка и подать заявку на установку системы «Клиент — Банк»и заключить договор на ее обслуживание. В договоре сообщается данные о специалисте,имеющем право на ведение финансовых документов и право наложения электронной подписи,это может быть как бухгалтер, так и директор, либо просто сотрудник бухгалтерии,наделенный правом распоряжаться денежными средствами на расчетном счете.
В зависимости от условий договора, время работы банка с организациейможет не ограничиваться часом окончания рабочего дня в банке — 16-30 — 18.00, нотакие условия, как правило, редкость и относятся к крупным клиентам категории VIP. Но даже если организация не является VIP клиентом, отправка платежей все равно происходит 24 часа в сутки,и если по каким то причинам платеж пришел после окончания рабочего дня, он будетисполнен утром следующего операционного дня.
Если все условия договора удовлетворили клиента, то после егоподписания в течение 7-14 рабочих дней специалист банка устанавливает в офисе клиентатребуемое программное обеспечение и обучит пользованию им. Как правило, эта услугаоказывается на платной основе. Стоимость услуги по установке системы варьируетсяв пределах от 100 рублей до 4000 рублей — в зависимости от объемов и сроков исполнениязаказа, а также от особенностей индивидуального подхода. Либо клиент сам получаетпрограммное обеспечение в банке и самостоятельно устанавливает его на своем рабочемместе — если он уверен, что справится.
Чаще всего установка не вызывает проблем у клиентов банка, особенноесли в штате организации есть IT-специалист, и не стоиттакже забывать о том что у банка всегда есть служба технической поддержки, где клиентувсегда могут оказать квалифицированную помощь. Стоимость самой услуги без учетаустановки специалистом банка колеблется в пределах от 1500 до 5000 рублей. Средняяцена ежемесячного обслуживания — 700 рублей.
К стоимости услуги, зафиксированной в условиях договора, прибавляетсяпроцент от стоимости проведения каждого платежа, либо это фиксированная сумма, котораяберется с каждого платежа после окончания операционного дня. Чтобы ежемесячно оплачиватьуслугу, платежное поручение не потребуется: оплата производится в порядке безакцептногосписания с расчетного счета.
Современные системы «Клиент — Банк» предлагают пользователямследующие возможности в работе с программой:
Простой, понятный интерфейс. Экранные формы максимально приближенык привычным печатным формам. Создание нового документа занимает менее 1 минуты;
Мощный механизм проверки документов. Проверка правильности заполнениядокументов осуществляется уже при вводе документа. Если при заполнении платежныхдокументов были допущены ошибки, клиент получит об этом сообщение в течение несколькихминут. При этом проверяется широкий спектр реквизитов.
Справочники корреспондентов, бенефициаров, БИКов, кодов SWIFT,курсов валют, кодов бюджетной классификации и других реквизитов бюджетных платежей,кодов видов валютных операций, мотивов отказа от акцепта. Данные этих справочниковвсегда актуальны, их обновления автоматически рассылаются всем Клиентам.
Широкий спектр типов документов. Система «Клиент — Банк»реализована с учетом всех требований Банка России и позволяет корпоративным клиентамотправлять в банк следующие финансовые документы:
платежное поручение;
платежное требование;
инкассовое поручение;
аккредитив;
заявление об отказе от акцепта;
кассовая заявка;
реестр переданных на инкассо расчетных документов;
заявление на перевод валюты;
поручение на покупку валюты;
поручение на продажу валюты;
поручение на обязательную продажу валюты;
поручение на конвертацию валюты;
заявление на открытие импортного аккредитива;
заявка на выдачу наличной валюты;
справка о валютных операциях;
выписка по счету за произвольный период;
оборотно-сальдовая ведомость за произвольный период;
платежное требование, выставленное клиенту;
В большинстве систем «Клиент — Банк» встроен механизмавтоматического обновления клиентского программного обеспечения. Версии дорабатываютсяс учетом нормативных актов Банка России, требований банка и пожеланий клиентов.
Оказание консультаций. По системе «Клиент — Банк» имеетсяподробная документация, а специалисты банка всегда готовы предоставить необходимуюконсультацию.
Для полной автоматизации деятельности организации в большинстве«Банк — Клиентов» есть возможность импорта и экспорта документов с внешнимибухгалтерскими программами. Такое решение, несомненно, облегчает жизнь бухгалтеруорганизации, так как все записи, операции и прочие бухгалтерские материалы уже давноведутся в электронном виде с помощью специализированных программ. Но в большинствеслучаев обмен данными настроен у «Клиент — Банков» только с программой«1С: Бухгалтерия», если же клиент использует какую-либо другую программудля ведения бухгалтерского учета, предполагается что обмен данными будет настроенсотрудниками организации самостоятельно. Это связано с тем, что зачастую организацииразрабатывают самостоятельно, либо покупают бухгалтерские программы с учетом спецификисвоей деятельности, и они несколько отличаются от стандартных.2.2 Система «Интернет-Клиент» как наиболееоптимальная форма дистанционного банковского обслуживания юридических лиц
Как уже было сказано, Интернет-Клиент для юридических лиц — этосистема, которая позволяет клиентам банка дистанционно осуществлять все виды платежныхопераций по своему счету, а также оперативно получать информацию, необходимую длявзаимодействия с банком. Работать с системой можно из любой точки мира — достаточноиметь лишь доступ в Интернет. Очень часто понятия «Банк-Клиент»,«Клиент-банк» и «Интернет-Клиент» воспринимаются населениемкак идентичные, содержащие одну и ту же смысловую нагрузку.
Интернет-Клиент — основная подсистема комплексного решения«ДБО BS-Client. Частный Клиент», обеспечивающая розничным клиентам банкапроведение полного комплекса удаленных операций через Интернет в защищенном режиме.«Интернет-Клиент» может использоваться банком совместно с другими подсистемамикомплексного решения «ДБО BS-Client. Частный Клиент», обеспечивая единоепространство электронного обслуживания клиентов по всем сервисам системы «ДБОBS-Client. Частный Клиент».
Подсистема «Интернет-Клиент» в полном объеме обеспечиваетиспользование всех банковских продуктов, входящих в состав «ДБО BS-Client.Частный Клиент». В качестве Аналога Собственноручной Подписи клиента могутиспользоваться как сеансовые ключи (в т. ч. и сформированные с помощью MobiPass),так и Электронно-Цифровая Подпись, сформированная сертифицированными ФСБ СредствамиКриптоЗащиты Информации.
При работе клиентов с подсистемой «Интернет-Клиент»управление счетом и проведение банковских операций происходит через web-сайт банка,доступ к которому осуществляется через сеть Интернет. Клиент банка из дома, с работыили любого другого места через браузер (Internet Explorer) обращается по стандартномупротоколу HTTP к веб-серверу банка. При успешной аутентификации пользователь начинаетзащищенный сеанс работы с системой «Интернет-Клиент» — производится обменинформацией в доступных форматах HTML и XML.
Все документы (база данных платежных поручений, выписок, справочниковкорреспондентов (получателей), справочник банков России и т.д.) и иные ресурсы,необходимые клиенту для работы с банком, находятся на стороне банка. Это позволяетпользователям не зависеть от конкретного компьютера и получать доступ к управлениюсчетом из любого удобного места, используя компьютер, подключенный к интернету.
Клиент может создавать, редактировать и отправлять в обработкуплатежные (рублевые и валютные) документы, просматривать архив документов, просматриватьи распечатывать сообщения из банка и выписки за любой период, пользоваться справочниками,физически находящимися на стороне кредитной организации, и т.д. Все операции междубанком и организацией проводятся в режиме реального времени. Возможности подсистемыпозволяют отслеживать все этапы обработки платежных документов на банковском сервере.
Благодаря онлайн-обмену информацией в подсистеме «Интернет-Клиент»реализован контроль корректности вводимых данных, обеспечивающий банку получениеот клиентов только верно заполненных документов. Опция онлайн-контроля облегчаети ускоряет для кредитной организации обработку поступивших документов и предоставляетудобство их оформления клиентам.
Внедрив у себя «Интернет-Клиент для юридических лиц»,банк получает целый ряд преимуществ:
1. Безопасная и стабильная работа клиентов. Безопасность достигается за счетиспользования сертифицированных ФСБ средств криптографической защиты информации,современных протоколов защиты данных, передаваемых через Интернет (SSL/TLS), и специфическихвнутренних механизмов защиты подсистемы, а стабильность — за счет промышленных веб-серверныхприложений (Apache, IIS). Все действия по созданию новых ключей СКЗИ и изменениюстарых клиент производит самостоятельно — для этого служит простой и удобный пользовательскийинтерфейс.
2. Быстрое и простое подключение любого количества клиентов. Для того чтобыподключится к подсистеме, клиенту не требуется приезжать в банк. Ему достаточнозайти на веб-сайт кредитной организации и зарегистрироваться в системе — далее онможет сразу начинать работу. Нет нужды устанавливать на стороне клиента дополнительноеПО — вполне хватит и системы криптозащиты информации. Все это достигается благодарямеханизму удаленного подключения, с помощью которого возможно быстрое подсоединениебольшого количества пользователей.
3. Простота установки системы. Инсталляция «Интернет-Клиента для юридическихлиц» не требует особых усилий и может быть произведена в кратчайший срок специалистамисамого банка. Благодаря внутренним механизмам автоматической настройки подсистемывесь комплекс работ по ее установке и настройке на месте занимает в среднем 30 минут.
4. Легкость и оперативность обновления ПО системы. Поскольку необходимость обновлятьклиентскую компоненту отсутствует (так как на стороне клиента нет никакого специальногопрограммного обеспечения), срок обновления подсистемы сокращается в десятки, а иногдаи в сотни раз. Это позволяет своевременно и оперативно добавлять в нее новый функционал,а также изменения, отражающие актуальное законодательство.
Подсистема «Интернет-Клиент для юридических лиц» заключаетв себе совокупность платежного, информационного и служебного сервисов для обеспеченияпроизводительной и удобной работы клиента с банком. Главным достоинством системыявляется то, что она сочетает полноту функционала, характерного для приложения классическоготипа «клиент-банк», с новыми возможностями, которые открываются благодаряиспользованию интернет-технологий.
Высокий интерес к интернет-банкингу со стороны клиентов обусловлен,прежде всего, более привлекательными условиями по сравнению с тем, что предлагаюттрадиционные банки. Отечественные банковские организации не уступают сегодня своимзападным коллегам в освоении современных финансовых технологий. В качестве примераможно привести WАР-банкинг — удаленное управление счетами посредством мобильноготелефона, оснащенного специальным программным обеспечение на базе протокола беспроводнойпередачи данных.
К сожалению, компании мобильной связи, предлагая клиентам телефоныстандарта GSM с возможностью выхода в Интернет, далеко не всегда могут поддерживатьнеобходимую степень защиты передаваемых или получаемых сведений на том уровне, какэто организовано в Интернете. Поэтому банки не могут взять на себя ответственностьза конфиденциальность платежей клиентов и предлагают им при помощи мобильного телефоналишь просматривать остаток на счете и список последних операций. Однако уже разрабатываетсяпрограммное обеспечение, способное довести услугу WАР-банкинга до совершенства.Пока же для того, чтобы обеспечить безопасность платежей, некоторые банки оговариваютс клиентом список операций и присваивают каждой из них соответствующий код. Припроведении какой-либо из операций пользователю WАР-банкинга достаточно ввести код,который при подтверждении банком активизирует необходимую транзакцию. За операциипо счету банк комиссию не берет.
Сам факт того, что многие услуги могут быть осуществлены дистанционночерез глобальную Сеть, привел к тому, что сам банк как физический объект (зданиеи пр.), в принципе, может не существовать. В свою очередь, теоретически это приводитк снижению операционных издержек, уменьшению стоимости услуг и повышению прибылисамого банка. Именно по этим причинам с 1995 по 2000 год в США и в Европе сталиоткрываться так называемые «виртуальные банки», у которых не существовалони одного офиса. Открытие счета и управление им, получение кредита — все это осуществлялосьтолько через интернет.
В США к 2000 году насчитывалось 26 подобных кредитных организаций.Самым первым виртуальным банком считается американский Security First Network Bank, открывшийся 18 октября 1995 года.За первые полтора года существования средний прирост капитала банка составлял 20%в месяц, активы выросли до 40 млн. долларов, было открыто более 10 тыс. клиентскихсчетов. В Европе первым виртуальным банком был Advance Bank, дочерняя структураДрезденской банковской группы (Германия). Подразделение появилось в 1996 году.
В 2000 году, когда стереотипы новой экономики развеялись и сталопонятно, что не любая компания, действующая через интернет, может использовать сетевойэффект, а для клиентов банков главное — надежность и безопасность, а не доступ ксчету 24 часа в сутки, многие виртуальные банки прекратили свое существование. Темне менее, большинство из них было приобретено традиционными банками для использованияих как одного из каналов предоставления собственных услуг.
В России, как и на Западе, интернет-банкинг вырос из систем класса«Клиент-Банк». И многие системы для юридических лиц сегодня являются«переходными». Появление российского интернет-банкинга принято отождествлятьс системой «Интернет Сервис Банк», разработанной специалистами Автобанкав 1998 году, которая была предназначена исключительно для физических лиц. Клиентудля управления счетом требовался только стандартный браузер, а для хранения идентификационнойинформации служило специальное аппаратное средство, подключаемое к компьютеру. Сейчасже для обеспечения безопасности почти во всех российских системах используется специальноепрограммное обеспечение, хранимое на дискете.
Сама клиентская часть и интерфейс, как правило, реализуются припомощи либо языка HTML и Java-апплетов, либо специальных плагинов для веб-браузеров,т.е. на стороне клиента специальное программное обеспечение в традиционном пониманиине устанавливается. Большинство российских банков для предоставления своих услугчерез интернет используют системы, разработанные сторонними производителями, и только12 банков используют собственные разработки.
Так сложилось, что на российском рынке интернет-банкинга, помимосамих банков и их клиентов, принято выделять еще один институт — IT-компании, которыенепосредственно разрабатывают и внедряют решения интернет-банкинга. Поэтому, говоряо системах интернет-банкинга российских банков, обычно упоминают и компанию-разработчикасамого решения. Конечно, на Западе банки для построения своих интернет-услуг прибегаютк помощи сторонних софтверных компаний, но их решения носят индивидуальный и кастомизированныйхарактер для каждого банка. Наши же разработчики предлагают банкам стандартный программныйпакет, на базе которого и развертывается система интернет-банкинга. Некоторые разработчикиподобных систем устанавливают конкретную цену на свои продукты, которая может изменятьсяв зависимости от количества клиентских мест. Таким образом, многие российские банкиимеют абсолютно идентичные системы, которые обладают одинаковыми функциями, интерфейсом,уровнем безопасности и пр.2.3Преимущества и недостатки системы «Телефон-Банк»
Телефонный банкинг — это банковский сервис по управлению расчетнымсчетом посредством использования возможностей телефонов с тональным набором номера.В классическом понимании телефонный банкинг это система интерактивного речевоговзаимодействия (IVR).
Как правило, системы Телефон-Банк имеют ограниченный набор функцийпо сравнению с системами «Клиент-Банк»:
· информация об остатках на счетах;
· информация о суммах поступлений в пользу клиента;
· ввод заявок на предоставление факсимильной копии выписки по счету;
· ввод заявок о проведении платежей, заказ наличности;
· ввод заявок на передачу факсимильной копии платежного поручения;
· ввод заявки на исполнение подготовленного по шаблону поручения наперевод средств;
Передача информации от клиента в банк может производиться различнымиспособами в зависимости от реализации системы:
· Общение клиента с оператором телефонного обслуживания (Call Center).
· С использованием кнопочного телефона (Touch Tone Telephone) и голосовогоменю (средств компьютеризованной телефонной связи (технологииIVR (Interactive Voice Response)), Speech to Text, Text to Speech).
· Посредством передачи SMS сообщений (SMS-banking)
Наибольшее распространение, из всех услуг дистанционного банковскогообслуживания, в нашей стране получил телефонный банкинг, который осуществляетсяблагодаря технологии звуковой передачи данных, применяемый операторами телефоннойсвязи. Также для телефонного банкинга применяются компьютерные возможности телефоннойсвязи и технологии, доступные для телефонов кнопочного типа. Перечень услуг, предоставляемыхклиентам банков при использовании телефонного банкинга достаточно широк. Так, можноузнавать о финансовых поступлениях на индивидуальный счет пользователя, получатьинформацию о текущем состоянии счета, а также осуществлять подачу заявок на осуществлениеплатежей и получение квитанций
Телебанкинг включает выбираемые по усмотрению банка виды обслуживания:
· информационно-справочную службу (курсы валют, изменения котировокценных бумаг, условия размещения депозитов, операции банка);
· проведение платежей (коммунальные услуги, телефонные счета и другиеуслуги связи, покупка и продажа валюты);
· управление счетом (переводы средств со счета на счет, баланс счета,пополнение или блокировка карточки при ее утере).
Когда банк выходит на рынок телебанкинга, т.е. включает функциюудаленного дистанционного осуществления финансовых операций, то это значит, чтоиспользуется информационная справочная система, позволяющая обслуживать клиентапо телефону. Создание такой системы позволяет банку значительно увеличить числообслуживаемых клиентов, не развертывая необходимой в таких случаях сети дополнительныхфилиалов и отделений. По некоторым оценкам объем услуг, предоставляемый по телефонупервопроходцами этого бизнеса, то есть банками Великобритании, в течение ближайших5 лет десятикратно увеличится, т.е. с 2 млн. в настоящее время до 20 млн.
Существуют следующие преимущества телебанкинга:
· Количество обслуживаемых клиентов ограничивается не количеством филиалови отделений банка, а факторами, которыми легче управлять: мощностью компьютернойсистемы и количеством подключенных к ней телефонных линий.
· Автоматический факсимильный сервис с успехом заменяет бумажный документооборотмежду клиентом и банком.
· Клиент не привязан к банку территориально. Банк может обслуживатьиногородних и даже иностранных клиентов, не открывая дополнительных отдаленных филиалов.
· Поскольку все операции производятся на центральном компьютере, можнобыстро и без существенных организационных издержек добавлять дополнительные услуги.
· Существенно сокращается количество сотрудников банка.
· Клиенту не нужно посещать банк, чтобы узнать состояние своего счетаили произвести какие-либо операции.
· Хорошо сочетается с карточными платежными системами.
· Обеспечивает круглосуточный сервис.
Для клиента телебанкинг — это еще одна возможность получить банковскуюуслугу в выходные дни или в нерабочие часы. По статистике пик платежей по телебанкингуприходится на время между 1 и 2 часами ночи. Для банка телебанкинг — возможностьпривлечь клиента и сэкономить на штате операционистов.
Телефонный банкинг работает с Разговорным компьютером, которыйкаждую сказанную команду понимает и отвечает хорошо понятной речью.
Он принимает звонки и обрабатывает их или соединит по желаниюс диспетчером. Разговорный компьютер может управляться через набор команды клавиатурой(телефон с импульсным тоном) При этом существуют три различных возможности:
1) Разговорный способ
У клиента есть возможность получить интересующуюинформацию посредством голосовых команд, называющих ту или иную цифру выбора меню(от 1 до 9). Также клиент может назвать ключевое слово для упрощения диалога и авторизациипользователя.
2) Ввод команды через клавиатуру телефона
Клиент имеет возможность выбрать напрямую имеющиеся цифры черезимпульсный телефон. При специальных комбинациях кнопок возможно переключение телефонаназад в предыдущее меню.
3) Ввод через прибор «сигналвводчик»
Клиент имеет возможность вводить цифры чрез специальный прибор- сигналвводчик, который используется для дистанционного опроса автоответчика. Дляиспользования такого диалога необходимо дополнительно установить устройство сигналвводчика,приспособив его для телефонаКак банк принимает необходимые меры для защитыданных:
1) Защита через телефонное кодовое число
Для первоначального использования телефонного банкинга, клиентчасто получает от банка собственное кодовое число, которое нужно для входа в систему.Это число меняется сразу же после первого звонка в число, которое известно толькоклиенту (5-и значное, только цифры) При этом нужно выбрать предложенный разговорнымкомпьютером пункт меню 'Управление счётом и карточкой' и далее функцию 'Изменениекодового числа'. Это кодовое число будет запомнено в системе защиты.
2) Надёжность через блокирование
Если клиент определил или предполагает, что постороннее лицознает кодовое число, необходимо сразу это число изменить или заблокировать. Дляэтого клиенту необходимо позвонить в центр телефонного банкинга и выбрать пунктменю диалога «Управление счётом и карточкой» Другой возможностью осуществитьблокирование кодового числа, является письменная форма, через ближайшее почтовоеотделение.
Если кодовое число будет три раза ошибочно введено, это повлечётза собой блокирование компьютером входа в систему телефонного банкинга.
3) Надёжность через контроль
Через выбор пункта диалога «Управление счётом и карточкой»клиент может быть информирован, сколько и как часто в течении месяца было произведенобанковских операций перевода, для которых клиент вводил своё кодовое число. Есликлиент эту информацию сверил, то он сразу может определить, использовал ли кто-тоего кодовое число для входа в систему телефонного банкинга.
Приведем пример меню, которым располагает клиентв процессе диалога с банком по телефону:
1) Информация счёта:
1. Состояние счёта 'Счёт'
2. Актуальные расходы 'Расход'
3. Таблица переводов 'Таблица'
4. Смена счёта
5. Переводы 'Перевод'
6. назад в главное меню 'Меню'
2) Фонды и курсы:
1. Цены инвестиционных фондов
2. Передовые курсы
3. Сорты курсов
4. назад в главное меню 'Меню'
3) Информация о продуктах:
1. Продукты экономии
2. Продукты кредитования
3. Электронный банкинг
4. Кредитные карты
5. Советы 'Консультация'
1. назад в главное меню 'Меню'
4) Счёт/ управление счётом:
1. Смена персонального кода
2. Блокирование персонального кода
3. Блокирование карточки
4. Логическая книга
1. назад в главное меню 'Меню'
5) Соединение с 'Прямым сервисом':
1. Опрос состояния счёта 'Перевод'
2. Совет
3. назад в главное меню 'Меню'
6) Заказ бланков 'Бланк':
1. Счётные конверты
2. Распечатка для 'Переводов'
3. Распечатка для счётов
4. EC-Scheks
7) назад в главное меню 'Меню'
Схемы работы систем телефонного банкинга у всех разработчиковпримерно одинаковы. Они представлены на рисунках 2 и 3.
/>
Рис.2. Схема работы системы «Телефон-Клиент»от разработчика банковского программного обеспечения ООО «Банк'с софт системс».
/>
Рис.3. Схема модуля «Phone-Банкинг»системы «iBank 2» от производителя систем дистанционного банковского обслуживанияООО «БИФИТ».
Модуль «Phone-Банкинг» системы «iBank 2»взаимодействует с оборудованием Intel Dialogic, полностью реализован на Java 2 иработает под операционными системами Windows, Linux и Solaris. Все голосовые примитивыхранятся в Сервере БД системы «iBank 2» и могут быть легко модифицированыбанком
Для описания сценариев взаимодействия клиентов с банком в модулеиспользуется язык CallXML. При необходимости банки могут самостоятельно модернизироватьи расширять типовые сценарии, голосовые меню, отчеты на факс.
Таким образом, несмотря на рекламу на сайтах банков об удобстветелефонного банкинга, о том, что есть возможность получать информацию о состояниисчета 24 часа в сутки 7 дней неделю, имея под рукой один лишь телефонный аппарат,можно сделать вывод, что телефонный банкинг — устаревшая услуга с ограниченным наборомфункций. Услуга была разработана еще в 1997 году в Гута — банке под названием«Телебанк» и с тех пор не слишком изменила свои функциональные возможности.
Все меньше корпоративных клиентов продолжают ею пользоватьсяиз-за низких стандартов безопасности, отсутствия наглядности в отображении информации,и новые корпоративные клиенты практически ее не покупают, отдавая предпочтение современнымсистемам дистанционного банковского обслуживания «Клиент-Банк» и Интернет-банкингу.Ведь в современных условиях тяжело себе представить клиента, у которого не былобы в офисе компьютера, подключенного к глобальной сети Интернет.
Глава 3. Направления совершенствования дистанционногобанковского обслуживания на примере «Тусарбанк» ЗАО3.1 Автоматизированная система «Интернет-Банк»
При дистанционном обслуживании ЗАО «Тусарбанк» используетсистему Интернет-Банк проекта «ДБО BS-Client» компании ООО «Банк`сСофт Системс».
Компания BSS основана в 1994 году и на сегодняшний день являетсялидером в области разработки автоматизированных систем дистанционного банковскогообслуживания и управления финансами.
Компания предоставляет полный комплекс услуг по организации электронногообслуживания всех типов респондентов банка (клиентов — юридических и физическихлиц, отделений, филиалов, банков-корреспондентов, обменных пунктов).
Более 50% крупнейших банков России используют системы разработанныеэтой компанией. В частности, по данным аналитических исследований CNews Analyticsза 2009 год, 24 из 50 ведущих банков РФ используют подсистему «Интернет-Клиент»системы «ДБО BS-Client», а 28 из 50 — подсистему «Банк-Клиент».В целом, решения Компании эксплуатируются более чем в 1500 кредитных организацияхРоссии и стран СНГ.
В число клиентов Компании входят Банк ВТБ (ОАО), ГПБ (ОАО), ОАО«Россельхозбанк», ОАО «УРАЛСИБ», ЗАО ЮниКредит Банк, «НОМОС-БАНК»ОАО, ОАО Банк «Петрокоммерц», ОАО «АК БАРС» БАНК, ОАО АКБ«Связь-Банк», ОАО «ТрансКредитБанк», Банк «Возрождение»(ОАО).
По данным рейтингов РА «Эксперт» и Интернет — изданияCNews.ru, BSS входит в сотню крупнейших и наиболее активно развивающихся IT-компанийРоссии. Система менеджмента качества BSS сертифицирована по международному стандартуISO 9001: 2000.
На текущий момент штат Компании составляет более 300 сотрудников.
«Интернет-Клиент» («тонкий» браузерный«банк — клиент») реализует в рамках «ДБО BS-Client» канал предоставленияполного спектра банковских услуг исключительно с помощью интернет-технологий. Даннаяподсистема позиционируется и как самостоятельный продукт, и как часть комплекснойсистемы «ДБО BS-Client» и ориентирована, ввиду особенностей своей реализации,на «продвинутых» клиентов банка, как физических, так и юридических лиц.Система решает следующие задачи:
· Ввод и обработка различных типов платежных и иных формализованныхдокументов клиентов банка, как юридических, так и физических лиц;
· Обмен сообщениями произвольного формата;
· Получение выписок в различных видах и форматах, а также иной информациииз банка;
· Организация интернет-коммерции как самому банку, так и любому егоклиенту;
· Построение расчетных и клиринговых систем в режиме реального времени.Выделим отличительные особенности системы:
· Гибкость системы и возможность внесения любых настроек;
· Высокая производительность — трафик по одному документу составляет~ 20Кб;
· Использование стандартных СКЗИ (КриптоПроCSP, Сигнал-Ком (продукты:криптобиблиотека Message Pro и сервер сертификации Notary PRO), Lan Crypto, Верба-OW,Крипто-Си), в т. ч. сертифицированных ФАПСИ (ФСБ);
· Простота использования и массовость внедрения за счет использованиятолько web-технологий;
· Абсолютная юридическая значимость, шифрование и ЭЦП всего трафикав обе стороны;
· Использование только стандартного HTML;
· Отсутствие возможности вскрытия — наряду с внутренней системой защитыHTTP-трафика BS-Defender «ДБО BS-Client» включает в себя два дополнительныхмеханизма обеспечения безопасности соединения с банком — протоколы SSL и TLS, позволяющиеповысить надежность связи и защитить передаваемую информацию от несанкционированногодоступа;
· Элегантный, удобный и интуитивно понятный документо-ориентированныйинтерфейс.
/>Массовость внедрения «Интернет-Клиента»обеспечивается «легкостью» самой системы и простотой начала работы с ней,что обуславливается использованием только стандартных интернет-технологий, а такжеее стоимостью.
При использовании «Интернет-Клиента» управление счетоми проведение различных банковских операций происходит при работе с обычным Web-сайтомбанка, доступ клиентов к которому осуществляется через сеть Интернет. Безусловно,банк может организовать резервный канал доступа к системе — создав с помощью модемногопула сеть Интранет для дозвонившихся в банк клиентов — на случай как сбоев у провайдеров,так и для клиентов, не имеющих (или не желающих иметь) доступ во всемирную сеть.
Клиент, из любой точки мира, при помощи встроенного в операционнуюсистему Windows браузера (Internet Explorer), обращается по протоколу HTTP к Web-серверубанка. Взаимная аутентификация клиента и банка осуществляется при помощи системыBS-Defender. При успешной аутентификации клиент начинает защищенный сеанс работыс системой «Интернет-Клиент» — производится обмен информацией в форматеHTML. Обеспечению безопасности и защищенности сеанса работы с системой ниже посвященотдельный раздел.
На клиентской стороне не содержится никакой информации — вседокументы, справочники и иные ресурсы находятся в банке. Клиент может создаватьи редактировать платежные (рублевые и валютные) и иные документы, просматриватьархив документов, сообщения из банка и выписки за любой период, пользоваться стандартнымисправочниками (как общими — банков, курсов валют и др., так и персональными — корреспондентов,оснований платежа и т.д.) физически находящимися на стороне банка.
При подготовке любого документа осуществляется его контроль накорректность введенных данных, после чего осуществляется операция электронно-цифровойподписи. Далее документ пересылается на сервер банка и после процедур проверки подписии правильности заполнения попадает в общую базу данных единой банковской части«ДБО BS-Client», где и производится его дальнейшая обработка (распечатка,посылка уведомлений, выгрузка в АБС, исполнение или отказ). При выполнении общихдля всех подсистем ДБО автопроцедур обработки документа, клиент получает результатоб исполнении документа или его отказе с указанием причины такового.
Документо-ориентированный интерфейс прост, элегантен и интуитивнопонятен любому пользователю — окно браузера разделено на три части: вверху находитсяпанель управления с рядом стандартных кнопок («Новый документ»,«Просмотр документа» и т.д.), слева содержится дерево документов по типам,(аналогично файловой структуре), справа находится рабочее окно, служащее для отображениясобственно документов, форм и списков документов выбранного типа. Данная модельв наиболее простой и наглядной форме позволяет пользователю работать с документами.Типовой клиентский интерфейс системы «Интернет-Клиент»приведен на рисунке4.
/>Рис.4 Типовой клиентский интерфейссистемы
Помимо простоты повседневной работы с системой, крайне важнообеспечение безболезненного начала работы с ней даже самого неподготовленного клиента.В подсистеме «Интернет-Клиент» системы «ДБО BS-Client» для началаработы клиенту необходимо лишь:
· Получить (или зарегистрировать уже имеющиеся) ключи (или электронныйсертификат) ЭЦП и шифрования в банке согласно акта ввода в действие ключей (приэтом, в случае получения ключей в банке, клиент имеет возможность самостоятельнойперегенерации ключей непосредственно на своем АРМ);
· Получить дистрибутив системы (программное обеспечение защиты HTTP-трафика- BS-Defender — объемом менее 1 Mb) либо при визите в банк, либо непосредственнос сайта банка;
· Запустить программу DefStart. exe из дистрибутива системы, котораяавтоматически осуществит установку системы защиты HTTP-трафика BS-Defender, настроитбраузер и параметры работы с ключами ЭЦП и шифрования, запустит браузер, установитзащищенное соединение с банком и осуществит вход в систему «Интернет-Клиент».
Для работы на любом другом компьютере в любой точке мира клиентунеобходима лишь дискета или флеш-карта с дистрибутивом системы и ключами ЭЦП. Технологияработы с системой отражена на рис.5
/>
Рис.5 Технология обработки документооборота
При заключении соглашения об использовании электронныхдокументов и электронной подписи в рассчетно-кассовом обслуживании закрепляютсяследующие понятия:
1. Информационная система Клиент-Банк (далее- Система) — комплекс программно-технических средств и организационных мероприятийдля создания и передачи электронных документов Сторонами по телекоммуникационнымканалам, в том числе и сети «Интернет». Система состоит их двух частей:подсистемы «Клиент» и подсистемы «Банк», установленных у соответствующихСторон.
2. Электронный документ (ЭД) — документ, в котороминформация: представлена в электронно-цифровой форме (в виде последовательностидвоичных символов), защищена от искажений с помощью одной или более электронныхцифровых подписей, с помощью средств Системы преобразуется в форму, пригодную дляоднозначного восприятия человеком, хранится в базе данных, либо в файле.
3. Электронная цифровая подпись (ЭЦП) — реквизитэлектронного документа, защищающий ЭД от подделки (определяющий подлинность ЭД).
ЭЦП представляет собой уникальную последовательностьсимволов, полученную в результате определенного математического преобразования содержанияЭД с использованием Закрытого ключа.
4. Определение подлинности ЭД, производимое спомощью Сертификата ключа предполагает:
установление факта отсутствия (наличия) искаженийЭД с момента подписания ЭЦП;
идентификацию владельца соответствующего Закрытогоключа, как лица, подписавшего ЭД.
5. Сертификат ключа — автоматически создаваемый,средствами Системы при генерации Открытого и Закрытого ключей, документ на бумажномносителе установленной формы, подписываемый Сторонами, удостоверяющий принадлежностьприведенного в нем Открытого ключа и соответствующего ему Закрытого ключа физическомулицу (Пользователю Системы, Администратору Системы). Подписанный Сторонами Сертификатключа подтверждает факт наделения данного физического лица правами на использованиеСистемы в соответствии с условиями настоящего Дополнительного о Соглашения к Договорубанковского счета.
Сертификат ключа создается в двух экземплярах,для Клиента и для Банка, оформляется Актом регистрации электронной подписи. Сертификатключа Администратора Системы подписывается только уполномоченным представителемБанка.
6. Закрытый ключ — уникальная последовательностьсимволов, полученная в результате работы программы генерации Комплекта ключей. Закрытыйключ предназначен для выработки Системой ЭЦП в ЭД.
7. Открытый ключ — связанная с Закрытым ключомособым математическим соотношением уникальная последовательность символов, полученнаяв результате работы программы генерации Комплекта ключей. Открытый ключ предназначендля проверки подлинности ЭЦП.
8. Комплект ключей — комплект из Закрытого и соответствующегоему Открытого ключей.
9. Компрометация ключей — утрата, хищение, несанкционированноекопирование или подозрение на копирование Закрытого ключа или Сертификата ключа,а также другие ситуации, при которых достоверно неизвестно, что произошло с Закрытымключом или Сертификатом ключа.
10. Пользователь Системы — физическое лицо, уполномоченноеКлиентом с помощью своего Закрытого ключа подписывать ЭЦП от имени Клиента ЭД, отправляемыев Банк, а также получать из Банка ЭД, предназначенные Клиенту.
Банк предоставляет Клиенту право использования Системы (программногопродукта) исключительно в порядке и объеме, установленных в соответствии с Лицензионнымдоговором между Банком и ООО «Банк`с Софт Системс» № BSS-TUSAR/S от 31.12.2008г. Предметом соглашения Банка и Клиента являютсяследующие положения:
Стороны осуществляют прием-передачу ЭД, подписанных ЭЦП, в соответствиис установленным орядком расчетов, являющимся неотъемлемой частью соглашения.
Стороны признают используемую в банке систему защиты информациидостаточной для защиты от несанкционированного доступа, а также для подтвержденияавторства и подлинности электронных документов.
Стороны имеют право в электронной форме передавать или получатьот другой стороны при помощи Системы любой из ЭД, используемой банком.
Банк и клиент договариваются признавать действие Комплекта ключейкаждой Стороны на основании Сертификата ключа без обращения за удостоверением Сертификатаключа к какой-либо третьей стороне.
Стороны признают, что Закрытый ключ Пользователя Системы создаетсясредствами Системы в единственном экземпляре, соответствует Открытому ключу, приведенномув Сертификате ключа, и известен только Пользователю Системы. Стороны признают, чтодоступ (регистрация) Пользователя Системы в Систему, а также создание корректнойЭЦП в ЭД невозможны без наличия Закрытого ключа.
ЭД, созданные средствами Системы, соответствующие определеннымтребованиям системы защиты информации, и подписанные ЭЦП Пользователя Системы илиБанка, признаются Сторонами документом, имеющим равную юридическую силу с банковскимбумажным документом, с надлежащим образом оформленными, документами на бумажныхносителях, подписанными собственноручными подписями уполномоченных лиц и заверенныхпечатью Стороны — отправителя документа и порождают аналогичные им права и обязанностиСторон по настоящему Соглашению и Договору банковского счета.3.2Перспективы развития дистанционного банковского обслуживания на примере ТУСАРБАНКЗАО
Использование Тусарбанком системы Интернет-Клиент компании BSS говорит о стремлении банка следоватьв ногу со временем. Отличительной особенностью этого банка является полное соответствиеего стандартов по дистанционному обслуживанию стандартам ЦБ.
Интернет-Клиент является очень перспективным проектом из-за недорогогообслуживания, круглосуточного доступа через Интернет к управлению своими счетами,высокой безопасности и удобства.
Одним из проектов, предлагаемых банком, является «Выпискаон-лайн»
Подсистема «Выписка Он-Лайн» комплексного решения дляобслуживания юридических лиц «ДБО BS-Client» предназначена для информационногообслуживания клиентов кредитных организаций в сегментах малого и среднего бизнеса.
Подсистема «Выписка Он-Лайн» позволяет клиентам банкаполучать информацию об остатках и выписки по счетам через сеть Интернет в режиме24х7х365. Данное решение может использоваться банком совместно с другими подсистемамикомплексного решения «ДБО BS-Client», обеспечивая единое пространствоэлектронного обслуживания клиентов по всем сервисам системы «ДБО BS-Client».
Работа в системе начинается с ввода логина и пароля: (рисунок6)
/>
Рис.6 Страница Вход в систему при авторизациипо учетной записи пользователя
· вход для просмотра данных о проведенных операциях осуществляется пологину/паролю. Защита соединения в подсистеме «Выписка Он-Лайн» осуществляетсяс помощью протокола SSL;
· пользователь видит только те операции, которые доступны для работыс выписками по счетам;
· пользователь может формировать отчеты за выбранный промежуток времени,устанавливать параметры отбора, распечатывать необходимые выписки необходимые документыв полном формате и пр.
Система Тусарбанка имеет следующие преимущества:
· не требуется установка дополнительного программного обеспечения (компонентовActiveX, СКЗИ и пр.);
· пользователю не требуется скачивание каких-либо компонент, что позволяетработать на компьютерах без прав администратора (интернет-кафе и т.п.);
· система поддерживает работу с наиболее популярными браузерами — InternetExplorer, Opera, Mozilla, Firefox.
При ориентации на массовое использование системы «Интернет-Клиент»для банка крайне важно иметь возможность проводить обновления системы, не затрагиваяклиентов. Примененная в системе «Интернет-Клиент» Тусарбанка технология,подразумевающая присутствие на клиентском месте только минимального, не зависящегоот логики системы, «защитного» программного обеспечения, обеспечиваетбезболезненное внесение любых изменений и модернизаций, поскольку вне зависимостиот количества клиентов они касаются только банковского сервера.
Причем изменение содержания банковского Web-сайта (применительнок подсистеме «Интернет-Клиент» системы «ДБО BS-Client»), егодизайна и наполнения возможно силами самого банка — необходимы лишь стандартныесредства для работы с языком HTML, а также поставляемые в составе системы«ДБО BS-Client» средства работы с базами данных и «Редактор задачRTS».
Остановимся подробнее на технических аспектах реализации подсистемы«Интернет-Клиент» в рамках «ДБО BS-Client»:
В основу подсистемы «Интернет-клиент» положены широкораспространенные технологии:
· CGI — интерфейс;
· HTML-шаблоны.
Как известно, технология HTML-шаблонов базируется на наборе заготовокHTML-документов, в которых, следуя определенному синтаксису, внедрены места подстановкизначений. Исполняемый модуль на WEB-сервере банка, исходя из данных полученногоHTTP-запроса, определяет, какой шаблон ему нужно взять и затем заменяет места подстановкив шаблоне на текстовые фрагменты. Готовый HTML-документ отправляется клиенту.
Для обеспечения описанной функциональности, в подсистеме«Интернет-Клиент» используются задачи для серверной части. Задача содержитнабор указаний, представляющих собой выражения на простом внутреннем языке и описывающих:
· какой шаблон использовать для формирования ответного HTML;
· какие данные из запроса клиента нужно использовать для того или иноговзаимодействия с БД;
· какие взаимодействия осуществить с БД;
· куда в HTML-шаблоне и каким образом подставить ответные данные дляпоследующей отправки клиенту.
В запросе, наряду с остальными данными, фигурирует ссылка нату или иную задачу. К каждому HTML-шаблону, как правило, «привязано» несколькозадач (количество задач равно количеству различных возможных переходов из HTML-документа,сформированного на основе этого шаблона). Подстановка ссылки на ту или иную задачуможет осуществляться, например, с помощью простых функций на JavaScript или VBScript.Существует несколько возможных переходов из HTML-документа при работе системы«Интернет-Клиент». Например, из формы-диалога платежного поручения можноперейти в список платежек с сохранением введенных данных; либо перейти к справочникукорреспондентов; и т.д. Причем каждый переход в общем случае сопровождается не толькоформированием HTML-документа, но и определенными действиями с базой данных в банковскойчасти системы.
Очевидно, что время от времени потребуется вносить какие-либоизменения в систему, и от того, каким образом реализована клиентская часть будетзависеть простота и скорость их внесения. Получившие признание среди разработчиковобъемные (порядка 300 — 600 Кб), JAVA-приложения являются целостной программой,и требуют для внесения любых, даже мелких, изменений заказа доработок у фирмы-разработчика,либо покупки исходных текстов и разбор чужого программного кода большого объема,не говоря уже о необходимости знания языка программирования JAVA специалистами банка.
Обычные же HTML-страницы (как это и реализовано в подсистеме«Интернет — Клиент») не требуют значительного времени на обновление, имеютнебольшой объем, просты для восприятия и могут быть изменены специалистами банка.
Для быстрого и наглядного написания задач и «привязки»их к HTML-шаблонам создан специальный инструмент — " Редактор задач RTS",дающий возможность описывать произвольные функции на собственном встроенном языкеBS-Script.
Зная основы HTML, JavaScript (VBScript) и освоив язык задачидля серверной части BS-Script, можно создавать законченные системы оборота различныхтипов документов.
«Тонкий» браузерный «банк-клиент», равнокак и любая другая полноценная система электронных расчетов, должен иметь под собойчеткую юридическую базу. Именно в силу отсутствия таковой, интернет-решения многихразработчиков не нашли своего применения в реальной жизни. Юридическая значимостьподсистемы «Интернет-Клиент» в рамках комплекса «ДБО BS-Client»обеспечивается следующими основными принципами:
· Существованием между клиентом и банком договора на обслуживание посистеме «Интернет-Клиент», определяющего их взаимоотношения, а также механизмрешения конфликтных ситуаций со ссылками на основные функции системы, скрепленныйфизическими подписями и оттисками печатей сторон. Ключевым моментом такого договораявляется понятие электронно-цифровой подписи банка и клиента;
· Использованием для обеспечения юридической значимости договора«стандартных», хорошо отработанных систем ЭЦП и шифрования, в том числесертифицированных ФАПСИ;
· Оформлением акта ввода в действие ключей ЭЦП и шифрования;
· Электронно-цифровой подписью не только каждого документа со стороныклиента, но и всех сообщений, проходящих по системе в обе стороны, от клиента вбанк и из банка клиенту. Причем ЭЦП всего трафика из банка обязательна, посколькув противном случае сохраняется вероятность подделок документов со стороны злоумышленников;
· Сохранением в журналах работы (обязательно на стороне банка и опциональноу клиента) всего прошедшего по системе траффика в исходном зашифрованном и снабженномэлектронно-цифровыми подписями сторон виде для разрешения возможных конфликтныхситуаций.
Безопасность и защита от несанкционированного доступа в подсистеме«Интернет-Клиент» обеспечивается применением в комплексе:
· Произвольных внешних криптографических средств защиты (СКЗИ — КриптоПроCSP,Сигнал-Ком, Верба-OW, КриптоЭкс);
· Протоколов безопасности SSL и TLS, позволяющих повысить надежностьсвязи и защитить передаваемую информацию от несанкционированного доступа;
· Собственной системы защиты траффика BS-Defender;
· Аутентификации, авторизации, протоколирования;
· Организационно-административных мероприятий;
· Штатных средств защиты ОС и СУБД;
· Контролирования;
· Межсетевого экранирования.
Центральной системой для обеспечения безопасности является поставляемаякак в составе «Интернет-Клиента», так и отдельно собственная система защитыHTTP-трафика BS-Defender, реализованная в виде симметричных прокси-серверов, в функциикоторой входят:
· Фильтрация трафика, относящегося к системе «Интернет-Клиент»и его маршрутизация;
· Вызов внешних систем криптозащиты для шифрования/дешифрования траффика;
· Протоколирование всего трафика, прошедшего по системе;
· Сжатие/распаковка сообщений, проходящих по системе.
Приведенная схема на рис.7 демонстрирует построение всего комплексазащиты в системе «Интернет-Клиент», включая общие средства обеспечениябезопасности информационных ресурсов банка.
В настоящее время вопросам безопасности данных враспределенных компьютерных системах уделяется очень большое внимание.Разработано множество средств для обеспечения информационной безопасности,предназначенных для использования на различных компьютерах с разными ОС. Вкачестве одного из направлений можно выделить межсетевые экраны (Firewalls),призванные контролировать доступ со стороны пользователей одного множествасистем к информации, хранящейся на серверах в другом множестве. В нашемприменении это доступ клиентов из сети Интернет к ресурсам, находящимся в сетибанка.
/>
Рис.7. Построение комплекса защиты в системе«Интернет-Клиент»
Экран выполняет свои функции, контролируя все информационныепотоки между этими двумя множествами информационных систем, работая как некая«информационная мембрана». В этом смысле экран можно представить как наборфильтров, анализирующих проходящую через них информацию и, на основе заложенныхв них алгоритмов, принимающих решение: пропустить ли эту информацию или отказатьв ее пересылке. Кроме того, такая система может выполнять регистрацию событий, связанныхс процессами разграничения доступа. В частности, фиксировать все «незаконные»попытки доступа к информации и сигнализировать о ситуациях, требующих немедленнойреакции, т.е. поднимать тревогу.
Обычно экранирующие системы делают несимметричными. Для экрановопределяются понятия «внутри» и «снаружи», и задача экрана состоитв защите внутренней сети от «потенциально враждебного» окружения. Важнейшимпримером потенциально враждебной внешней сети является Интернет.
Firewall может строиться разными путями, используя различныемеханизмы:
· Фильтры, установленные на маршрутизаторах (router-based filters);
· Межсетевые шлюзы на хостах, или крепости-бастионы (host computer gateways);
· Разделение изоляционными сетями (a separate, isolation network).
Наиболее типичным решением проблемы обеспечения защиты от НСДсо стороны внешней сети является устанавка Proxy-сервера и межсетевого экрана (Firewall).Помещение межсетевого экрана после прокси-сервера обеспечивает необходимый уровеньзащиты с сохранением возможности доступа клиента к web-серверу банка с любого компьютераиз любой точки мира. Данное решение является одним из возможных и может базироватьсяна использовании специализированных продуктов Check Point Firewall-1 компании CheckPoint Software Technologies, TIS Firewall Toolkit компании Trusted Information Systemsи т.п.
При использовании системы «ДБО BS-Client» возможнокак задействовать уже существующую в банке систему защиты от несанкционированногодоступа извне, так и получить консультации и помощь специалистов Компании в разработкесистемы безопасности «с нуля». При этом возможен как выбор одного из предлагаемыхКомпанией «типовых» решений для организации защиты сети банка от НСД состороны Интернет, так разработка специалистами Компании индивидуального решения.
В систему «Интернет-Клиент» введен ряд технологическихрешений, обеспечивающих корректную работу в случае сбоев и\или обрывов связи:
· Механизм сессий — каждое окно браузера, запущенное определенным клиентом,получает уникальный номер сессии, и вся работа происходит в рамках этой сессии(вплоть до закрытия сессии по окончании работы или после того, как истечет таймаут,устанавливаемый в настройках серверной части системы);
· Сквозная нумерация запросов в рамках сессии — каждый запрос в рамкахопределенной сессии имеет уникальный идентификатор. Обрабатываются запросы с номеромбольше или равным предыдущему;
· Хранение на сервере данных, необходимых для формирования текущегозапроса только до момента поступления запроса со следующим номером.
Последние два технических момента позволяют корректно обрабатыватьповторные запросы.
В случае обрыва связи во время работы клиента (например, призаполнении формы документа), в течение некоторого установленного настройками временион может соединиться с сервером и продолжить работу. Его форма находится в открытомбраузере. Следует отметить, что заполняемая на стороне клиента форма до отправкизапроса на банковский сервер нигде, кроме как в браузере, не существует и исчезаеттолько после его закрытия.
Если обрыв связи произошел в момент отправки запроса, но до полученияответа, то при возобновлении соединения и повторной отправке запроса (в течениетаймаута) клиент получит как раз тот ответ, который он недополучил. При этом дублированиеисключено и повторной модификации данных не произойдет.
Если же обрыв связи произошел в момент получения ответа сервера,когда запрос уже обработан, то после возобновления соединения клиент найдет свойдокумент, отправленный до обрыва связи, активизируя ссылку на панели навигации.
Подсистема позволяет юридическому лицу поддерживать актуальностьсобственных финансовых данных. Любой сотрудник компании с соответствующим уровнемдоступа, может в любой момент получить необходимую информацию из любого удобногоместа с доступом в Интернет.
Данное решение может служить кредитным организациям эффективныминструментом привлечения новых клиентов. Предоставление услуг с помощью подсистемы«Выписка Он-Лайн» — хорошая возможность для повышения востребованностибанковских услуг и эффективное решение для увеличения доли пользователей подсистемы«Интернет-Клиент» среди клиентов банка.
В целом можно сказать, что этот проект весьма актуален и, чтосамое главное, успешен. В целях привлечения большего количества клиентов и сохраненияуже существующих предлагаем рассмотреть несколько вариантов улучшения взаимодействиябанка и клиента:
1. Разработка двух типов интерфейса: обычного (для опытных пользователей)и упрощенного (для начинающих: с пояснением каждого действия). Это позволит снятьлишнюю нагрузку со специалистов технической поддержки, которым в основном приходитсяотвечать на одни и те же вопросы.
2. Осуществление технической поддержки по почте в оперативномрежиме позволило бы разгрузить телефонные линии, дать специалисту время разобратьсяв вопросе и выслать адресату полный и исчерпывающий ответ на интересующий вопрос,также появилась бы возможность сохранять историю переписки с клиентом, что немаловажно.
3. Создание и поддержание в актуальном виде подробной инструкциипо использованию системы Клиент-Банк с возможными ошибками и их решением для минимизациизатрат по многократному разъяснению клиентам необходимых действий.
4. В целях безопасности создание только одного оригинальногоносителя секретных ключей с невозможностью его копирования.
5. В целях привлечения новых клиентов рекомендуется увеличениемасштабов рекламы и ее упрощение для потенциальных начинающих пользователей. Использованиерекламы представляется возможным в основном в Интернете (на сайтах банков, банковскихфорумах и прочих ресурсах, на которых бывают потенциальные клиенты).
Для кредитной организации направления, нуждающиеся в тщательнойпроработке, следующие:
недостаточная проработанность документов, призванных осуществитьадаптацию довольно большого количества внутренних процессов и процедур к новым условиямдеятельности;
недостатки в вопросах технического обеспечения информационнойбезопасности системы ДБО;
недостаточный анализ при внедрении новой банковской технологии,ориентированной на ДБО через Интернет, анализ тех «неприятностей» (организационных,юридических), которые клиент может доставить кредитной организации;
значительная зависимость кредитной организации от других вовлеченныхв процесс сторон (провайдеров, поставщиков программно-аппаратных средств и др.).
Заключение
Проведенный анализ позволяет сделать выводы о том, что дистанционноеобслуживание юридических лиц — это наиболее перспективное направление банковскогобизнеса в сфере предоставления услуг корпоративным клиентам.
На данный момент точно определить объем оказываемых банками удаленныхуслуг невозможно, существуют только косвенные оценки, по которым электронные формыобслуживания предоставляют около 70% банков, а рост клиентов, дистанционно управляющихсобственными счетами, составляет 20-30% в год.
Исследуя различные понятия дистанционного банковского обслуживанияорганизаций, были сделаны следующие выводы.
Системы удаленного доступа к банковским услугам реализуются черезпредоставление этих услуг по запросу клиента без непосредственного взаимодействияс сотрудником кредитной организации по различным каналам: с помощью компьютера свыходом в глобальную сеть Интернет («Клиент — Банк», Интернет-банкинг)и стационарного (Телефонный банкинг).
Определенный слой клиентов банков, для которых удаленные коммуникациистановятся все более привычными средствами общения с кредитными организациями, ужепоявился. Как правило, это организации, имеющие понятие о новых услугах банков,руководство которых разбирается в современных технологиях, сформировавшее положительноемнение об удобстве и безопасности мобильной и Интернет — связи для операций с финансами.
Клиенты ценят в ДБО прежде всего удобство, доступность и работув режиме реального времени, а банки — экономию издержек, максимальную близость кклиенту, независимо от региона страны, и наличие дополнительных конкурентных преимуществ.
Проанализировав рынок дистанционных банковских услуг коммерческихбанков в России, можно выделить следующие тенденции:
расширение спектра предоставляемых возможностей через Интернет;
внедрение систем ДБО для юридических лиц через мобильные устройства;
желание банков отказаться от телефонного банкинга в связи с егокрайне ограниченным кругом возможностей.
Наиболее динамично развивающимся современным каналом дистанционногобанковского обслуживания, действующим в режиме он-лайн, является дистрибуция продуктови услуг через глобальную сеть Интернет. Основное преимущество Интернет-банкингасостоит в удобстве, ведь дистанционно управлять своими счетами клиент может с обычногокомпьютера или ноутбука с выходом во всемирную сеть, не ограничивая себя ни территориально,ни во времени, экономя при этом деньги и нервы.
Основные сервисы, которые сейчас доступны клиентам в режиме он-лайн,следующие:
· информационный сервис — предоставление информации и выписок по расчетнымсчетам, рассылка оповещений о произведенных транзакциях, лента новостей;
· оформление платежных документов — осуществление регулярных и произвольныхплатежей;
· сервис по работе с рублевыми, валютными и бизнес счетами;
Скорее всего, в будущем «корзину дополнительных сервисов»ожидает такой же подход, который демонстрируют западные банки, сделавшие в этомнаправлении большой шаг вперед, — это более тесная интеграция различных каналовДБО между собой и с электронными платежными системами — создание так называемыхконтакт — центров. Будет происходить трансформация классических отдельных каналовонлайн — банкинга в сторону центров, способных работать с клиентом через использованиесамых разных средств и методов связи — телефон, SMS, MMS, Интернет, е-mail, чати т.д.
Российскому банковскому бизнесу сделать это пока что не представляетсявозможным. Ведь широкому предоставлению кредитными организациями интерактивных услугв режиме реального времени препятствуют многие факторы, среди которых:
невысокий уровень доверия и популярности банковских услуг у организаций;
низкий уровень финансовой культуры и технической грамотности(например, в некоторых организациях платежные поручения до сих пор делают на печатноймашинке);
отсутствие качественного продвижения дистанционных услуг со стороныбанка;
неразвитость коммуникационной инфраструктуры в регионах;
законодательные ограничения.
Тем не менее, положительные тенденции присутствуют: это и повсеместноераспространение Интернета и мобильной связи, и рост активности разработчиков автоматизированныхбанковских систем для кредитных организаций, и совершенствование законодательнойбазы, и расширение спектра предоставляемых банками онлайновых услуг.
Поэтому вполне возможно, что в будущем традиционное здание банкакак место встречи банкиров со своими клиентами, в конце концов, отойдет в прошлоеи будет вытеснено электронными средствами коммуникаций.
Библиографическийсписок
1. Гражданский кодекс РФ, Части первая, вторая, третья и четвертая. — М.: Проспект,2007. — 560 с.;
2. Федеральный закон от 10.07.2002 № 86-ФЗ (ред. от 25.11.2009)«О Центральномбанке Российской Федерации (Банке России)» (принят ГД ФС РФ 27.06.2002);
3. Федеральный закон от 02.12.1990 № 395-1 (ред. от 27.12.2009)«О банкахи банковской деятельности» (с изм. и доп. от 01.01.2010);
4. Федеральный закон от 10.01.2002 № 1-ФЗ (ред. от 08.11.2007)«Об электроннойцифровой подписи (принят ГД ФС РФ 13.12.2001);
5. Федеральный закон от 27.07.2006 № 149-ФЗ „Об информации, информационныхтехнологиях и о защите информации“ (принят ГД ФС РФ 08.07.2006);
6. Федеральный закон от 07.08.2001 № 115-ФЗ „О противодействии легализации(отмыванию) доходов, полученных преступным путем, и финансированию терроризма“(принят ГД ФС РФ 13.07.2001) (с изм. и доп., вступившими в силу с 06.12.2009);
7. Письмо ЦБ РФ от от 3 февраля 2004 г. N 16-Т „Рекомендации по информационному содержанию и организации WEB-сайтов кредитныхорганизаций в сети интернет“ // Российская газета. — 2004. — № 198.- С.18.
8. Письмо ЦБ РФ от 7 декабря 2007 г. N 197-Т „О рисках при дистанционномбанковском обслуживании“ // Вестник Банка России. — 2007. — №68. — С.56.
9. Порядок организации работы по предоставлению услуг с использованием системы»Клиент — Сбербанк" №1331-2-р. // Акционерный коммерческий Сберегательныйбанк Российской Федерации. — 2008.
10. Арт Я., Паперная И. Банкиры на дистанции // BusinessWeek Россия. — 2007.- № 68. — С.48.
11. Букин М. Портативный банк // PCWeek Mobile.- 2007. — №3. — С.14.
12. Буркова А.Ю. Дистанционное банковское обслуживание: преимущества и риски// Юридический справочник руководителя — 2009. — №6. С.63.
13. Веретенников Д. Виртуальное самообслуживание // ЭКСПЕРТ. — 2008. — № 9.- С.24.
14. Веретенников Д. Бесплатная виртуальность // ЭКСПЕРТ. — 2009. — №14. — С.19.
15. Гамза В.А. Безопасность банковской деятельности.2-е изд., перераб. и доп:Учебник для ВУЗов / под ред. Гамза В.А. — Маркет ДС, 2008 — 408 с.
16. Городецкий П. Обзор рынка ИБ в России // Connect- 2009. — №7-8. — С.31.
17. Додонова И.В. Автоматизированная обработка банковской информации: учебноепособие для студентов ВУЗов / Додонова И.В., Кабанова О. В.: под ред. ДодоновойИ.В. — КНОРУС, 2008. — 176 с.
18. Ермолаев Е. Интернет-банкинг в мире и в России: история, текущее положениедел и перспективы развития // ITСпец — 2009 — №2. С.62.
19. Изофенко Р.Н. Дистанционные каналы работы с клиентами // Банковское дело- 2009. — №8. — С.17.
20. Калемберг Д., Комарова Н. Какие угрозы в электронном банкинге? // Банковскиетехнологии — 2009. — №6. — С.58.
21. Климов Е. Практические аспекты борьбы с инсайдерами // Информационная безопасность- 2009. — №3. — С.21.
22. Козулькова К. Счета выходят на связь // Газета «КоммерсантЪ».- 2008. — 21.09.08 № 176. — С.23.
23. Коробова Г.Г. Банковское дело: учебник // Коробова Г.Г. — Экономистъ, 2008.
24. Лаврушин О.И. Банковское дело: учебник / О.И. Лаврушин, И.Н. Мамонова, Н.И.Валенева; под ред. засл. деят. науки, проф.О.И. Лаврушина. — М.: КНОРУС, 2009.
25. Логвинова Н. «Толстый» против «тонкого» // Финанс. — 2008. №6. — С.57.
26. Мартынова Т. Аргументы в пользу дистанционного банкинга // Банковское обозрение.- 2009. — № 4. — С.36.
27. Мишакова А. ДБО стремится к системности // CIO: руководитель информационнойслужбы. — 2009. — №2. С.41.
28. Насакин Р. Сервисы интернет-банкинга с расширенным набором функций // Компьютерра- 2008. — №4. — С.65.
29. Поляк Г.Б. Финансовый менеджмент: учебник для вузов / под ред. акад.Г.Б.Поляка. — М.: ЮНИТИ-ДАНА, 2008.
30. Рудычева Н. Кризис не поменял лидеров на рынке ДБО // CNEWS- 2009 — №8. С.22.
31. Серегин А.Ю. Рынок ДБО в России и в мире. Перспективы развития электронногобанкинга в России // Банковские технологии. — 2008. — №10 — С.52.
32. Скиннер К. Будущее банкинга. Мировые тенденции и новые технологии в отрасли:учебник / К. Скиннер — Гревцов Паблишер, 2009.
33. Соколова А. Интернет-банкинг: отражение реальности // Расчет — 2008. — №8.- С.74.
34. Теренин А. Современные технологии для банка // Банковские технологии — 2008.- №7. — С.23.
35. Титюнник А.В. Информационные технологии в банке. ИТ-менеджмент, операционноеуправление, управление проектами, практические решения / А.В. Титюнник, А.С. Шевелев.- М.: ИД «БДЦ-пресс», 2008. — 368 с.
36. Шестопалова Н. iFin-2007: в поисках мобильности// PC Week Mobile. — 2008. — №3. — С.16.
37. 1. Модин Е. ДБО в зоне риска // (электронный ресурс) — www.alladin.ru 17.02.2009.
38. www.bankir.ru(электронный ресурс).
39. Интернет-портал www.bifit.com (электронный ресурс).
40. Интернет-портал www.rbc.ru(электронный ресурс).