ПАО МОСОБЛБАНК

Безопасность

Для обеспечения максимальной безопасности при передаче данных через Интернет, Банком используются самые современные и технологичные средства защиты и шифрования данных, удовлетворяющие всем требованиям Российского законодательства.

Механизмы обеспечения информационной безопасности:

  • Подписание платежных документов электронной подписью (ЭП) для обеспечения целостности и доказательства авторства передаваемой информации.
  • Использование криптографических алгоритмов шифрования данных при передаче информации между банком и клиентами для обеспечения конфиденциальности передаваемых данных.
  • Двухфакторная аутентификация клиента при взаимодействии с системой Интернет-Банка.

Протокол TLS

Для обеспечения защищенного взаимодействия между клиентом и сервером через сеть Интернет в системе Интернет-Банка реализован криптографический протокол TLS, использующий ассиметричный алгоритм шифрования для формирования сеансового ключа между клиентом и сервером, сертификат для аутентификации сервера, выданный аккредитованным удостоверяющим центром.

Криптография

Средства криптографической защиты предназначены для обеспечения защиты конфиденциальной информации, которая не является государственной тайной, от угроз нарушения конфиденциальности и целостности при помощи использования криптографических процедур, встроенных в прикладное программное обеспечение. Для криптографической защиты информации с использованием ключей ЭП в систему Интернет-Банка встроена сертифицированная ФСБ РФ криптобиблиотека "Крипто-КОМ" (далее по тексту - СКЗИ), имеющая сертификаты ФСБ России СФ/114-3268 от 11.01.2018 г., СФ/124-3269 от 11.01.2018 г., удостоверяющие, что СКЗИ соответствует требованиям российских государственных стандартов в области криптографической защиты, требованиям ФСБ России к шифровальными (криптографическим) средствам класса КС1 и КС2.

В используемых USB-Токенах реализованы российские стандарты электронной подписи, шифрования и хеширования, что обеспечивает безопасное хранение ключей электронной подписи во встроенной защищенной памяти USB-носителя без возможности их экспорта. Устройство обладает поддержкой отечественных криптографических стандартов: ГОСТ Р 34.10-2012, описывающий алгоритмы формирования и проверки электронной подписи и ГОСТ Р 34.11-2012, определяющий алгоритм и процедуру вычисления хеш-функции. Устройства сертифицированы ФСБ РФ по классам КС1 и КС2, сертификат соответствия №СФ/124-2771 ФСБ РФ.

Электронная подпись (ЭП)

ЭП используется в качестве аналога личной подписи. Для формирования ЭП клиента используются следующие криптографические алгоритмы:

  • формирование и проверка ЭП в соответствии с ГОСТ Р 34.10-2012
  • выработка значения хэш-функции в соответствии с ГОСТ Р 34.11-2012

Секретный ключ ЭП клиента используется для формирования ЭП клиента под платежными документами и другими исходящими от клиента электронными документами.

Открытый ключ ЭП клиента используется Банком для аутентификации клиента и для проверки ЭП клиента под платежным документом. Проверка ЭП клиента осуществляется сервером приложения системы Интернет-Банка в момент подписи клиентом документов, а также шлюзом при выгрузке документов в автоматизированную систему Банка. Открытые ключи ЭП клиентов хранятся в Банке, на сервере баз данных в виде сертификатов открытых ключей ЭП клиентов.

ПЭП – Простая электронная подпись клиента

Для проведения частными клиентами операций по списанию средств со счетов в «WEB-Банкинге» в качестве простой электронной подписи (ПЭП) клиента, используются индивидуальные таблицы одноразовых паролей. Пароли выдаются клиенту лично в Банке в запечатанном конверте.

Для подтверждения документа, система запрашивает пароль по его порядковому номеру в таблице. Пароль может быть использован только один раз.

ПЭП могут пользоваться только частные лица, для корпоративных клиентов использование ПЭП запрещено!