Повна версія

Головна arrow Право arrow БАНКІВСЬКИЙ ВКЛАД, БАНКІВСЬКИЙ РАХУНОК. РОЗРАХУНКИ

  • Увеличить шрифт
  • Уменьшить шрифт


<<   ЗМІСТ   >>

ВИКОРИСТАННЯ СИСТЕМ ВІДДАЛЕНОГО ДОСТУПУ ДО БАНКІВСЬКИХ РАХУНКІВ

Питання про розвиток систем віддаленого банківського обслуговування є надзвичайно актуальним для Росії. Масштаби країни, невисока щільність населення, віддаленість сільських районів - все це змушує задуматися про нетрадиційні каналах доставки фінансових продуктів населенню. Економіка банківського бізнесу влаштована таким чином, що відкриття банківських відділень і філій у віддалених регіонах виявляється збитковою справою. Отже, необхідні інноваційні технології - технології з різних областей знань: комунікаційних, організаційних, фінансових і мікрофінансових [1] [2] .

Розвиток банківських технологій і сучасний стан платіжної системи Росії створили для господарюючих суб'єктів реальну можливість широкого застосування нових технологій проведення платежів, до числа яких відносяться різні системи віддаленого доступу до банківських рахунків: інтернет-банкінг, СМС-інформування та ін. З їх допомогою банки вирішують проблеми залучення нових клієнтів і своєчасної обробки значного обсягу документів і інформації.

До oneeudwjiM переваг використання банками систем віддаленого доступу слід віднести:

  • • централізовану обробку інформації, яка передбачає виконання всіх комп'ютерних програм на термінальних серверах і установку на клієнтському місці лише клієнтських термінальних пристроїв;
  • • ефективну роботу з філіями, що дозволяє вирішити проблему оперативного збору інформації з місць;
  • • високу захищеність ресурсів, засновану на тому, що всі інформаційні масиви зосереджені в єдиному місці, під контролем і захистом служби безпеки банку;
  • • високу надійність транзакцій, обумовлену перенесенням виконання клієнтської частини з потенційно ненадійних персональних комп'ютерів на відмовостійкі термінальні сервери;
  • • можливість роботи на каналах зв'язку з низькою пропускною здатністю [3] .

В даний час кредитні організації пропонують клієнтам досить широкий вибір платіжних систем і послуг. Деякі з них обмежуються повним управлінням коштами через

Інтернет: веденням рахунків, купівлею і продажем іноземної валюти, роботою на ринку цінних паперів, відкриттям і поповненням банківських вкладів, оплатою комунальних та інших платежів. Інші передбачають також можливість здійснення операцій з банківськими картами, а також дозволяють приватним і корпоративним клієнтам в режимі онлайн оформити документи і реально оцінити свої фінансові можливості для отримання і обслуговування кредиту. Треті практикують інтерактивну торгівлю акціями, опціонами, ф'ючерсами, пропонуючи клієнтам систему «електронного брокера», створену але аналогії з інтерфейсами торгових місць Московської міжбанківської валютної біржі.

Різні комплекти банківських послуг надають клієнтам в даний час найбільші російські розробники фінансових інтернет-технологій [4] , зокрема:

Інтернет-банкінг, що надає управління банківськими рахунками і картами через Інтернет і веб-браузер в режимі онлайн, а також підтримує всі типи фінансових документів. Працює у всіх веб-браузер і на всіх платформах. Немає необхідності в установці клієнта спеціалізованого програмного забезпечення. Містить механізми шифрування і електронного підпису (ЕЦП) (див. Федеральний закон від 06.04.2011 № 63-ФЗ «Про електронний підпис») підтримує колективну роботу, взаємодіє з бухгалтерськими програмами;

PC-банкінг, який також надає послуги з управління банківськими рахунками і картами, але в режимі оф-лайн, через встановлене па комп'ютері клієнта програмне забезпечення з використанням підключення через модем до банківського модемного пулу (комутований доступ). Синхронізація з банком - передача в банк фінансових документів, завантаження виписок, синхронізація довідників, завантаження оновлень клієнтської компоненти РС-банкінгу - відбувається через захищене з'єднання по протоколу TCP / IP;

Mobile-банкінг, який передбачає управління банківськими рахунками і картами з КПК, комунікаторів і смартфонів. Працює в режимі онлайн. Підтримує всі типи фінансових документів. Клієнтська ком- понен реалізована для трьох платформ: Java 2 ME, Microsoft.NET Compact Framework і Symbian OS. Інтерфейс розроблений з урахуванням особливостей коммунікторов і смартфонів. Містить механізми шифрування і ЕЦП, підтримує колективну роботу. Як правило, використання системи Mobile-банкпнг дозволяє проводити управління рахунком, що включає «отримання інформації абонентом про стан рахунку в будь-який момент і будь-якій точці знаходження, отримання інформації про зарахування суми на рахунок, контроль совершающейся угоди в реальному часі, можливість зупинити дію рахунки в разі підозр використання рахунку іншою особою або втрати » [5] ;

СМС-банкіж, що дозволяє мати доступ до банківських рахунків і карт через СМС. Передбачена можливість розсилки СМС-повідомлень про поточні залишки, рух коштів по рахунках і картах, виписки за розкладом. Налаштування розсилки СМС-повідомлень здійснюється клієнтом самостійно в Інтернет-банкінгу та PC-банкінгу. Реалізована підписка на банківські новинні канали, підтримуються СМС-запити клієнтів;

WAP-банкінг , який передбачає доступ до банківських рахунків і карт з мобільного телефону через WAP. Надається інформація про реквізити банку, курсах валют, поточні залишки по рахунках і картах. Клієнт може запитувати виписки за довільний період, поповнювати і блокувати карти, здійснювати WMP-платежі;

Phone-банкінг, що відкриває доступ до банківських рахунків і карт з телефону. Надається інформація про поточні залишки, виписка за певний період, що пересилається на факс, поповнення та блокування карт, телефонні платежі;

Веб-банкінг , який є полегшеною (/ ^ / - інтерфейс) версією Інтернет-банкінгу, не містить механізму ЕЦП і призначений для доступу до банківських рахунків і карт через Інтернет і будь-який веб-браузер.

В даний час на практиці кредитними організаціями найбільш широко застосовується система інтернет-банкінгу iBank 2 для приватних і корпоративних клієнтів [6] . За допомогою системи iBank 2 клієнт отримує можливість:

  • - відправляти в банк різні фінансові, в тому числі платіжні документи, з метою доручити банку виконати певні дії (здійснити платіж, купівлю іноземної валюти та ін.);
  • - отримувати виписки по рахунках за будь-який період часу;
  • - здійснювати відгук фінансових, в тому числі платіжних, документів;
  • - обмінюватися інформаційними повідомленнями з банком;
  • - здійснювати обмін документами (імпорт / експорт) з бухгалтерськими програмами.

Робота має на увазі обов'язкову реєстрацію клієнта в системі, яка складається з двох етапів: а) попередня реєстрація через Інтернет; б) остаточна реєстрація в офісі банку.

У процесі попередньої реєстрації клієнт вносить відомості про себе і про власника ключа [7] в систему і генерує відкритий і закритий ключі ЕЦП. На етапі остаточної реєстрації клієнт особисто прибуває в банк з підписаним сертифікатом відкритого ключа ЕЦП і укладає з банком договір на обслуговування клієнта в системі iBank 2 [8] .

ЕЦП використовується як аналог власноручного підпису клієнта для забезпечення цілісності та автентичності пересилаються документів. Закритий ключ ЕЦП використовується для формування ЕЦП нод фінансовими документами та іншими вихідними від клієнта розпорядженнями. Закритий ключ ЕЦП зберігається на магнітному носії (комп'ютерний диск) або електронному носії (i / Sfi-токен) клієнта в зашифрованому вигляді.

Відкритий ключ ЕЦП використовується банком для аутентифікації клієнта і для перевірки ЕЦП клієнта під фінансовими документами. Перевірка ЕЦП клієнта здійснюється сервером банку в момент підписання клієнтом документів і в момент їх вивантаження в базу банку. Відкриті ключі ЕЦП клієнтів зберігаються в банку у вигляді сертифікатів, засвідчених системним адміністратором банку.

В даний час базовим стандартом дистанційного банківського обслуговування є система «Клієнт-Банк», яка дозволяє направляти в кредитну організацію розрахункові документи в електронному вигляді, одержувати виписки руху коштів по рахунках і здійснювати обмін інших документів.

В іншому - кожна кредитна організація в цілях досягнення певних конкурентних переваг використовує різні технічні та програмні засоби оптимізації платежів і спілкування з клієнтом.

Як правило, особливості комплексного обслуговування клієнтів з використанням системи «Клієнт-Банк» онлайн, так само як і використання 7тю / л7е-банкінгу, різних систем СМС-оповіщення та інших форм дистанційної взаємодії між клієнтом і банком передбачаються у відповідних внутрішніх документах кредитної організації - правилах здійснення операцій, відображаються у відповідних договорах банківського рахунку або додаткових угодах до них.

Правила традиційно містять закріплення системи термінів (понять), предмет регулювання, питання захисту електронних документів, підключення і відключення від системи і обслуговування клієнта в системі, правила здійснення розрахунків, порядок вирішення спорів та інші питання.

Так, наприклад, в Умовах комплексного обслуговування клієнтів з використанням системи «Банк-Клієнт онлайн» банк приймає на себе зобов'язання з проведення розрахункових операцій за банківськими (спеціальним банківським) рахунках клієнта, відкритим у банку, на підставі електронних платіжних документів, з передачі електронних служебноінформаціонних документів між клієнтом і банком по мережі Інтернет за допомогою системи «Банк-Клієнт онлайн», а також з надання клієнту по телефону з використанням секретного слова фінансової інформації в обсязі, передбаченому цими умовами. Клієнт доручає банку, а банк приймає на себе зобов'язання:

  • - з проведення розрахункових операцій за банківськими (спеціальним банківських рахунків) клієнта на підставі електронних платіжних документів, спрямованих клієнтом в банк по мережі Інтернет;
  • 1
  • - з передачі електронних службово-інформаційних документів між клієнтом і банком по мережі Інтернет;
  • - за висновком сторонами договорів, зміни і доповнення раніше укладених сторонами договорів на підставі електронних оферт, сформованих і клієнтом по мережі Інтернет, шляхом їх акцепту банком;
  • - з надання при зверненні клієнта по телефону з використанням секретного слова інформації щодо рахунків, депозитних рахунків і кредитних договорів.

Як правило, розробляються також внутрішні документи, що передбачають порядок визнання та використання електронних підписів, порядок використання ключа електронного підпису, вимоги щодо забезпечення інформаційної безпеки в системі дистанційного банківського обслуговування.

Аналогічний документ розроблений Ощадбанком Росії - Умови надання послуг з використанням системи дистанційного банківського обслуговування ПЛО Сбербанк юридично особам, індивідуальним підприємцям і фізичним особам, які займаються приватною практикою в порядку, встановленому законодавством Російської Федерації [9] .

У документі розкрита система термінів і визначень; умови надання та оплати послуг; загальні положення визначають перелік основних послуг з використанням систем дистанційного банкінгу, серед яких:

  • - прийом від клієнта електронних платіжних документів на виконання операцій по його рахунках;
  • - надання клієнту в електронному документі інформації про операції, скоєних по рахунках;
  • - обмін електронними документами та інформацією, в тому числі прийом інформації вільного формату і інші питання.

Дистанційне обслуговування ПЛО Сбербанк Росії включає системи:

  • - Сбербанк Бізнес Онлайн (система дистанційного банківського обслуговування, що надає можливість за допомогою стандартного веб-браузера готувати і відправляти платіжні документи, а також здійснювати інші операції);
  • - мобільний додаток «Сбербанк Бізнес Онлайн» (планування, контроль, управління фінансами юридичних осіб та індивідуальних підприємців в один дотик);
  • - E-voicing (система електронного документообігу, за допомогою якої клієнт може вирішувати бізнес-завдання незалежно від відстані між контрагентами, масштабів бізнесу і виду діяльності;
  • - Сбербанк Бізнес - система дистанційного банківського обслуговування на основі програми, що встановлюється на стороні клієнта і інші системи дистанційного банкінгу.

Безумовно, системи дистанційного банкінгу в першу чергу вигідні для фізичних осіб, оскільки дозволяють виробляти оплату рахунків і покупок без відвідування відділення банку, практично, з будь-якої точки світу; практично миттєво отримувати виписки руху коштів по рахунках, інформування та інші банківські послуги.

Для юридичних осіб це - різні форми більш спрощеного оформлення платіжних документів, обмін ними, отримання виписок, подача заявок на проведення документарних операцій, заявок на отримання кредитів та ін.

Законодавчо в даній області кредитні організації зобов'язані дотримуватися нормативні правові та нормативні та рекомендаційні акти, що регулюють порядок обміну інформацією та забезпечення конфіденційності переданих відомостей [10] .

Особливе значення в цьому зв'язку набувають питання інформаційної безпеки при здійсненні дистанційного банкінгу.

Банком Росії розроблений Стандарт СТО БР Іббсе-1.0-2014 «Забезпечення безпеки організацій банківської системи Російської Федерації» з метою розвитку і зміцнення банківської системи, досягнення адекватності заходів захисту реальних загроз інформаційній безпеці, запобігання і (або) зниження шкоди від інцидентів інформаційної безпеки (далі - «ІБ»), підтримання стабільності організацій банківської системи Росії і на цій - основі - стабільності банківської системи Росії в цілому.

Систему І Б становить сукупність захисних заходів, що реалізують забезпечення І Б кредитної організації, і процесів їх експлуатації, включаючи ресурсне та адміністративне (організаційне) забезпечення.

Банк Росії відзначає, що сутність бізнесу полягає в залученні активу, що належить власнику (організації банківської системи Росії) в бізнес-процес. Ця діяльність завжди схильна до ризиків, так як і на сам актив, і на бізнес-процес можуть впливати різного роду загрози (природного, техногенного та антропогенного характеру).

В основу вихідної концептуальної схеми інформаційної безпеки організацій банківської системи лежить протиборство власника [11] і зловмисника з метою отримання контролю над інформаційними активами.

Значну увагу приділено в концепції порядку доступу працівників і клієнтів кредитної організації до інформаційних активів, який повинен здійснюватися на основі наступних основних принципів:

  • - знати свого клієнта ( Know your Customers ) - відображає ставлення до фінансових організацій з точки зору діяльності їх клієнтів;
  • - знати свого службовця ( Know your Employee) - демонструє стурбованість організації щодо ставлення службовців до своїх обов'язків і можливих проблем, таких як зловживання майном, афери або фінансові труднощі, які можуть призводити до проблем з безпекою;
  • - необхідно знати ( Need to know) - обмежує повноваження щодо доступу до інформації та ресурсів з обробки інформації на рівні мінімально необхідних для виконання певних обов'язків;
  • - подвійне управління ( Dual Control) - принцип збереження цілісності процесу і боротьби з спотворенням функції системи, що вимагає дублювання (тимчасового, ресурсного та іншого) дій до завершення певних транзакцій.

Аналогічний підхід простежується і з аналізу інших Стандартів інформаційної безпеки Банку Росії, присвячених певним, більш вузьких питань:

  • - Рекомендації в галузі стандартизації Банку Росії «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Запобігання витокам інформації »PC БР ІББС- 2.9-2016;
  • - Рекомендації в галузі стандартизації Банку Росії «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Ресурсне забезпечення інформаційної безпеки »PC БР Іббсе-2.7-2015;
  • - Рекомендації в галузі стандартизації Банку Росії «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Забезпечення інформаційної безпеки при використанні технології віртуалізації ». PC БР Іббсе-2.8-2015;
  • - Рекомендації в галузі стандартизації Банку Росії «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Забезпечення інформаційної безпеки на стадіях життєвого циклу автоматизованих банківських систем »PC БР Іббсе-2.6-2014;
  • - Рекомендації в галузі стандартизації Банку Росії «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Методика оцінки ризиків порушення інформаційної безпеки ». PC БР Іббсе-2.2-2009 і ін.

Вищевказані акти прийняті Банком Росії як рекомендації і, відповідно, не носять загальнообов'язкового характеру, оскільки нормативними актами не є. Разом з тим кредитна організація зобов'язана самостійно визначити і закріпити у відповідних внутрішньобанківських документах перелік і зміст основних загроз (моделей загроз), яким вона схильна до і розробити комплекс засобів для їх усунення або мінімізації і, відповідно, захисту інтересів клієнтів, вкладників, кореспондентів, контрагентів кредитної організації та її власників.

Відповідно до і. 1.2 Положення Банку Росії від 16.12.2003 № 242-П «Про організацію внутрішнього контролю в кредитних організаціях і банківських групах» встановлено, що однією з основних цілей здійснення внутрішнього контролю є забезпечення інформаційної безпеки - захищеності інтересів (цілей) кредитної організації в інформаційній сфері, представляє собою сукупність інформації, інформаційної інфраструктури, суб'єктів, які здійснюють збір, формування, розповсюдження і використання інформації, а також системи регулювання возника щих при цьому відносин.

Контроль за управлінням інформаційними потоками (отриманням і передачею інформації) і забезпеченням інформаційної безпеки є одним з напрямків системи внутрішнього контролю.

Інформація за напрямками діяльності кредитної організації повинна бути своєчасною, надійною, доступною і правильно оформленою. Інформація складається з відомостей про діяльність кредитної організації і її результати, даних про дотримання встановлених вимог нормативних правових актів, стандартів саморегулівних організацій (для професійних учасників ринку цінних паперів), установчих і внутрішніх документів кредитної організації, а також з даних про подіях і умовах, що мають відношення до прийняття рішень. Форма подання інформації повинна бути визначена з урахуванням потреб конкретного одержувача (органи управління, підрозділи, службовці кредитної організації).

Порядок контролю за управлінням інформаційними потоками (отриманням і передачею інформації) і забезпеченням інформаційної безпеки повинен бути встановлений внутрішніми документами кредитної організації і повинен поширюватися на всі напрямки її діяльності.

Внутрішній контроль за автоматизованими інформаційними системами та технічними засобами складається з загального контролю і програмного контролю.

При цьому загальний контроль автоматизованих інформаційних систем передбачає контроль комп'ютерних систем (контроль за головним комп'ютером, системою клієнт-сервер і робочими місцями кінцевих користувачів і т.д.), що проводиться з метою забезпечення безперебійної і безперервної роботи.

Програмний контроль здійснюється вбудованими в прикладні програми автоматизованими процедурами, а також виконуваними вручну процедурами, контролюючими обробку банківських операцій та інших угод (контрольне редагування, контроль логічного доступу, внутрішні процедури резервування та відновлення даних і т.п.).

Кредитна організація зобов'язана розробити правила управління інформаційною діяльністю, включаючи порядок захисту від несанкціонованого доступу і поширення конфіденційної інформації, а також від використання конфіденційної інформації в особистих цілях.

Політика інформаційної безпеки визначається Банком Росії в числі основних питань, по яким кредитна організація повинна прийняти внутрішні документи (Додаток № 2 до Положення Банку Росії № 242-П).

  • [1] Тим часом але означеного питання є і протилежна практика. Див., Наприклад, Визначення Приморського крайового суду від 20.10.2014 по справі № 33-9280.
  • [2] Використано матеріали сайту Асоціації регіональних банків Росії (URL: http: //www.asros.ru/2pid* 19 @ cid-20 @ act "1494600841).
  • [3] Абросимов В. Термінальний доступ. Архітектура «тонкого» клієнта // Банковскіетехнологіі. 2005. № 2.
  • [4] Більш детально про це див .: URL: http: //www.bifit.corn.
  • [5] Ликова Є. Актуальність комплексних ІТ-рішень для автоматизації банковскіхтехнологій // Банківський огляд. 2004. № 9.
  • [6] Технічні характеристики даної системи см. На сайті (URL: http: // www. Hifit.com).
  • [7] Незалежно від виду клієнта власником ключа завжди буде фізична особа - працівник організації-клієнта.
  • [8] Інформація про знов зареєстрованого клієнта і його відкритий ключ зберігається всистемі не більше 30 днів. Якщо протягом цього терміну клієнт не пройшов остаточну реєстрацію в офісі банку, інформація про такий клієнта і його ключі автоматично удаляетсяс сервера банку.
  • [9] ega 1 / banki ngserv i се / ed bo / ta ri f /? base = beta).
  • [10] Наприклад, Федеральний закон від 27.07.2006 № 149-ФЗ «Про інформацію, інформаційні технології і про захист інформації»; Постанова Уряду РФот 03.03.2012 № 171 «Про ліцензування діяльності з розробки та виробництва средствзащіти конфіденційної інформації»; Постанова Уряду РФ від 26.06.1995№ 608 «Про сертифікації засобів захисту інформації»; Лист Банку Росії від 14.03.2014№ 42-Т «Про посилення контролю за ризиками, що виникають у кредитних організацій прііспользованіі iнформацiї, що мiстить персональні дані громадян»; Вказівка Банку Росії від 10.12.2015 № 3889-У «Про визначення загроз безпеки персональних даних, актуальних при обробці персональних даних в інформаційних системах персональних даних» та нр.
  • [11] Під власником Стандарт розуміє суб'єкта господарської діяльності, який має права володіння, розпорядження або користування активами, який зацікавлений іліобязан (згідно з вимогами законодавства чи інших нормативних актів) обеспечіватьзащіту активів від загроз, які можуть знизити їх цінність або завдати шкоди власнику.
 
<<   ЗМІСТ   >>