Безопасность
Для обеспечения максимальной безопасности при передаче данных через Интернет, Банком используются самые современные и технологичные средства защиты и шифрования данных, удовлетворяющие всем требованиям Российского законодательства.
Механизмы обеспечения информационной безопасности:
- Подписание платежных документов электронной подписью (ЭП) для обеспечения целостности и доказательства авторства передаваемой информации.
- Использование криптографических алгоритмов шифрования данных при передаче информации между банком и клиентами для обеспечения конфиденциальности передаваемых данных.
- Двухфакторная аутентификация клиента при взаимодействии с системой Интернет-Банка.
Протокол TLS
Для обеспечения защищенного взаимодействия между клиентом и сервером через сеть Интернет в системе Интернет-Банка реализован криптографический протокол TLS, использующий ассиметричный алгоритм шифрования для формирования сеансового ключа между клиентом и сервером, сертификат для аутентификации сервера, выданный аккредитованным удостоверяющим центром.
Криптография
Средства криптографической защиты предназначены для обеспечения защиты конфиденциальной информации, которая не является государственной тайной, от угроз нарушения конфиденциальности и целостности при помощи использования криптографических процедур, встроенных в прикладное программное обеспечение. Для криптографической защиты информации с использованием ключей ЭП в систему Интернет-Банка встроена сертифицированная ФСБ РФ криптобиблиотека "Крипто-КОМ" (далее по тексту - СКЗИ), имеющая сертификаты ФСБ России СФ/114-3268 от 11.01.2018 г., СФ/124-3269 от 11.01.2018 г., удостоверяющие, что СКЗИ соответствует требованиям российских государственных стандартов в области криптографической защиты, требованиям ФСБ России к шифровальными (криптографическим) средствам класса КС1 и КС2.
В используемых USB-Токенах реализованы российские стандарты электронной подписи, шифрования и хеширования, что обеспечивает безопасное хранение ключей электронной подписи во встроенной защищенной памяти USB-носителя без возможности их экспорта. Устройство обладает поддержкой отечественных криптографических стандартов: ГОСТ Р 34.10-2012, описывающий алгоритмы формирования и проверки электронной подписи и ГОСТ Р 34.11-2012, определяющий алгоритм и процедуру вычисления хеш-функции. Устройства сертифицированы ФСБ РФ по классам КС1 и КС2, сертификат соответствия №СФ/124-2771 ФСБ РФ.
Электронная подпись (ЭП)
ЭП используется в качестве аналога личной подписи. Для формирования ЭП клиента используются следующие криптографические алгоритмы:
- формирование и проверка ЭП в соответствии с ГОСТ Р 34.10-2012
- выработка значения хэш-функции в соответствии с ГОСТ Р 34.11-2012
Секретный ключ ЭП клиента используется для формирования ЭП клиента под платежными документами и другими исходящими от клиента электронными документами.
Открытый ключ ЭП клиента используется Банком для аутентификации клиента и для проверки ЭП клиента под платежным документом. Проверка ЭП клиента осуществляется сервером приложения системы Интернет-Банка в момент подписи клиентом документов, а также шлюзом при выгрузке документов в автоматизированную систему Банка. Открытые ключи ЭП клиентов хранятся в Банке, на сервере баз данных в виде сертификатов открытых ключей ЭП клиентов.
ПЭП – Простая электронная подпись клиента
Для проведения частными клиентами операций по списанию средств со счетов в «WEB-Банкинге» в качестве простой электронной подписи (ПЭП) клиента, используются индивидуальные таблицы одноразовых паролей. Пароли выдаются клиенту лично в Банке в запечатанном конверте.
Для подтверждения документа, система запрашивает пароль по его порядковому номеру в таблице. Пароль может быть использован только один раз.
ПЭП могут пользоваться только частные лица, для корпоративных клиентов использование ПЭП запрещено!