Он-лайновое управление доступом в ИБ Инбанка

Клиентам Инбанка в ИБ доступно он-лайновое управление доступом.

Можно сказать следующий уровень:
в "обычном ИБ" в других банках - управление счетами;
в Инбанке - плюс "управление управлением" :-)

Как это выглядит

Клиент Инбанка, зайдя в ИБ под своим ключом, первоначально выпущенном с посещением офиса Инбанка (ЭЦП, "мастер-ключ", далее МК), в любое время, немедленно и без визита в банк может выпустить нужное ему количество дополнительных ключей ("ограниченный ключ", далее ОК).

По каждому ОК может настроить (в ИБ из под МК):
- доступные предприятия;
- доступные счета;
- уровень доступа к каждому доступному счету - только просмотр (и подготовка п/п на подпись, например), или с возможностью платежей.

Каждый ОК может отдельно настраивать параметры оповещений (каналы - СМС, эл. почта; события - поступление средств, вход в ИБ, этапы обработки платежа и т.д.; тексты оповещений) - вся гамма настроек, как и для МК.

Используя МК, для каждого ОК можно в любой момент:
- установить срок действия ОК;
- приостановить ОК;
- необратимо заблокировать ОК.

Как этим пользоваться

1. Основное назначение ОК - безопасность. Имеет смысл выпустить для повседневного использования ОК, а флешку с МК убрать в сейф. С максимальными разрешениями ОК позволяет всё тоже самое что и МК, кроме выпуска и управления собственно ОК.
Теперь при малейшем подозрении на компрометацию ключа - немедленно блокировать его и выпускать новый ОК.
Формально точно также надо бы поступать и без ОК - звонить в ТП банка и блокировать ключ. Но возобновление доступа к ИБ потребует посещения банка, что дает мотив к рассуждениям "АВОСЬ ничего страшного" (или в поездке - выбор между безопасностью и отсутствие доступа к финансам до ближайшего офиса банка; да еще за рубежом - жуть).
Выпуск ОК избавляет клиентов Инбанка от поиска такого рода компромиссов.

Дальнейшие примеры применения ОК предложены клиентами Инбанка и не являются рекомендованными банком, так как содержат передачу ОК третьим лицам, что запрещено.
Тем не менее, на практике ключ ЭЦП случается передается "по производственной необходимости", например, директором сотруднику предприятия (бухгалтеру); использование ОК делает эти риски хотя бы более управляемыми.

2. ОК для сотрудников предприятия. Например, ОК "ридонли" бухгалтеру для подготовки платежек, которые автоматически помещаются в ИБ в папку "На подпись", и директор уже под своим ОК (МК - в сейфе!) проверяет и подписывает.
Другой вариант - ОК с возможностью платежей доверенному, надежному сотруднику на время командировки или отпуска. Несмотря на всё доверие, по возвращении ОК заблокировать (или запретить платежи). Так же при увольнении легко решается вопрос с закрытием доступа бывшего сотрудника к финансам - ОК блокируется в ИБ под МК.

3. ОК для аудиторов и проверяющих - тут вроде просто, "только чтение", к только нужным счетам, со сроком действия ОК на время проверки.

4. Разграничение прав доступа к финансам при многоуровневой структуре отношений собственников и руководителей. Тут, наоборот, все очень индивидуально для каждого предприятия, общих рецептов нет, но гибкость настроек ОК задачу позволит решить.

Остается добавить, что управление доступом к финансам в Инбанке предоставляется клиентам без дополнительной оплаты, в рамках обслуживания счета (500р./мес. для ЮЛ, включая СМС-информирование) и традиционно бесплатно для ФЛ.

Аналогов по оперативности и гибкости в других банках не обнаружено - это уникальный инструмент в ИБ Инбанка.

Улучшения и изменения, тем не менее, в него вносятся, в первую очередь на основе отзывов клиентов.

don't buy drugs,... become a rock star and get them for free!!!


.... и юридической уязвимости для клиентов.
Поясню
У клиента нет юридической фиксации генерации/смены ЭЦП.

Соответственно, вся доказательная база на стороне банка, а в нашей стране никто против себя показаний давать не обязан.

В более других банках оно присутствует в виде распечатанного документа.

П,с. Только не надо говорить про опыт казны - там СТАРОЙ юридически значимой подписью подписывался запрос на формирование новой ЭЦП, т.е. юридически все было в порядке, а тут выше рассказывается история про овечку Долли (клонирование), что есть нонсенс.

Несомненно, желающие излечивать перхоть гильотиной найдется - народ у нас юридически безграмотен и дремуч, но мыслящего человека описание схемы запутать не должно :-)

То, что описано - реализация встраивания криптосредств (механизм обвязки)
Лицензия на РАЗРАБОТКУ криптосредств у данного банка наличествует?


[Сообщение изменено пользователем 05.07.2010 09:22]

http://forum.frolov-bank.ru/index.php/topic,311.0.html
этот вопрос уже обсуждался на форуме Инбанка

Значит отсутствует.
Это позволяет мне как обеспокоенному этим фактом обратиться с соответствующим запросом в государевы органы.

[Сообщение удалено пользователем 26.03.2024 13:36]

В Инбанке запрос на сертификат и договор АСП тоже в бумажном виде есть у клиента и у банка.
так что мимо

Это неотъемлемое право всех обеспокоенных :-)

Спасибо, что разрешили.
Ждите проверку.

ну, хоть один флудер делом займется :-)

Интересный Вы человек.
Как поднимать тему про технологическую фичу, которая на самом деле юридически ничтожна - это всегда пожалуйста.
А как ловят на недоработках и нестыковках - сразу в кусты и из них оскорбляете.
Нереспект.

очень неудобно, когда оппонент исподтишка всё редактирует и редактирует свой пост ...

Разница между продлением ключа (как в СК) и выпуском дополнительного ключа (ОК) только в сохранении старого ключа: с СК он блокировался, а в слувае с ОК - продолжает действовать.

На юридическую значимость порожденного ключа как может влиять статус старого? Главное чтобы старый ключ был действующим на момент подписания заявления на выпуск нового ключа.
В любом случае, юристы Инбанка вопрос рассматривали и их квалифицированное мнение - всё нормально.

Нигде "ИМХО" не пропустили? ;-)

уууууууу.....

За всем этим бредом про ограниченные ключи, наверное, очень серьезный маркетинг... Должно быть ОК - самая востребованная услуга на рынке сейчас...

Так себе живо и представляю: зажал ФВН очередного несчастного сотрудника близлежащих офисов в лифте и спрашивает: "Чего тебе, несчастный сотрудник близлежащего офиса, не хватает для полного счастья в интернет-банке? Почему ты еще к Инбанке не подключился со всеми своими сбережениями?". А тот ему с перепугу и отвечает: "Мучаюсь я, Владимир Николаевич, от того, что в интернет-банке нету ограниченного ключа. Ни карт мне не надо, ни кредитов с депозитами, ни вестернюниона поганого. Ограниченный ключ - ключ к моему человеческому счастью!".
Опечалился ФВН, стал думу думать...

И родила гора мышь.

:-D

[Сообщение изменено пользователем 05.07.2010 09:55]

2igor уже привык, что на бред не отвечаю
Вы тоже привыкайте :-)
Но - за неравнодушное отношение к Инбанку - спасибо!

[Сообщение удалено пользователем 26.03.2024 13:36]

2igor, Вы по Вами же приведенной ссылке пройдите - используемые Вами эпитеты никаких рефлексов не вызывают?
Воистину, бревно в своём глазу..

Я Вас прекрасно понимаю: вроде бы полный рот гадостей, а по делу ответить нечего ;-)

Если Вы понимаете, как люди от кухарки до руководителя предприятия жили без этой... эмм... загогулины с ключами, и как их жизнь кординально поменяется и станет удобной после нее, - флаг Вам в руки.

ИМХО, далеко не самый востребованный сервис на рынке (мягко выражаясь).

С тем же успехом могли прикрутить к своему Инбанку большой адронный коллайдер. Звучит красиво, в буклете место, отведенное на карты, заполнено, время разработчиков потрачено - смысла для широкого пользователя ноль.

[Сообщение изменено пользователем 05.07.2010 10:07]

чего у Вас полный рот - оффтопик, но насчет "по делу ответить" - а что Вы спросили "по делу"?

Да, хамство - фирменный стиль Вашей конторы. Но Вас лично трудно винить в этом: каков поп, таков и приход.

По делу - разжевываю специально для Вас: сколько человек реально за счет этого "конкурентного преимущества" с ключами перейдут обслуживаться в Инбанк?

Правильный ответ: 0.

[Сообщение изменено пользователем 05.07.2010 10:13]

[Сообщение удалено пользователем 26.03.2024 13:36]

Ровно наоборот - клиентам управление ключами как раз нравится, и, вероятно, для какой-то части станет определяющим при выборе банка - так как у конкурентов аналогичного решения нет.

Цифр с относительными и абсолютными, разумеется, пока нет - фиче отроду неделя :-)

Мне всегда представлялось, что в рыночных компаниях все ровно наоборот. Сначала расчитывают востребованность "фичи" на рынке - потом реализуют.

Но это, видимо, не про Инбанк.

[Сообщение изменено пользователем 05.07.2010 10:23]

Безопасность - сложная штука, и не всегда очевидно, как те или иные действия на нее влияют. Всегда уместно задать вопрос - от какой угрозы защищает, какой риск снимает то или иной решение. Вот например, имеем ограниченный ключ - от чего он защищает владельца ?

Если ОК выпущен с полными правами, то с точки зрения злоумышленника нет разницы - украсть ОК или МК - ему же не доступом рулить, а деньги перевести, причем разово. И он это сделает оперативно и без проблем.

И для владельца тоже практически ничего не изменилось - как раньше надо было почуять неладное и заблокировать ключ - так и сейчас. Только раньше надо было по телефону в банк звонить (что, кстати, проще во многих случаях), а сейчас срочно где-то интернет искать, да еще и МК где-то брать - а он, как вы верно заметили, может быть в сейфе, дома, а вы - на цейлоне. А если надо непременно с ОК таскать и МК рядом - то в чем соль шутки ?

Так что пользователь попадает что так что этак. Чисто техническое решение не дает безопасности.

Как раз наоборот, существующая схема контроля доступа под названием "карточка образов подписей" ломается таким подходом напрочь, т.к. АБС считает, что работает Вася, а там на самом деле - Петя с Васиного разрешения.



Все правильно пишете, но как обычно, гибкость и широта имеет обратную сторону - сложность. Немногие пользователи смогут даже задуматься о том, зачем оно им надо, очень немногие - понять, действительно ли это так, и крайне мало тех, кто продвинут настолько, что будет разбираться в настройках. Вы же массовый продукт делаете ?

А дальше все как обычно - сложность чревата ошибками, ошибки - нарушениями безопасности (пароль прилепленный на мониторе ?), а там и до ответственности недалеко.

Если я понял правильно, по действиям, произведенным ОК, отвечает владелец МК. Так вот если вы выдали доверенному сотруднику ОК с полным доступом, а сотрудник оказался нехорошим человеком - потом будет невозможно предъявить банку претензии.

Ошибки в серверной части, например, могут привести к тому, что ОК, выданный операционистке, ВНЕЗАПНО позволит ей тоже немного денежек увести, и опять - отвечает директор.

Резюме - ОК может быть полезен в части ограниченных ключей - read-only и (с осторожностью) только для забивания платежек (кстати, как раз так и было сделано в Казне). ОК полного доступа - не могу понять зачем.

Нарушается принятый подход к авторизации действий в АБС. Процедура усложняется.

Стоят ли минусы плюсов - каждый решает сам. Говорить об epic win имхо преждевременно. Поживем - увидим.

Вообще-то, кто из пользователей Инбанка попробовал ОК (я в том числе), фичу уже заценили :-)
Действительно прикольно самому себе на время отъезда или для использования на чужом компе выдывать ограниченный ключ с установленными лимитами.



[Сообщение изменено пользователем 20.05.2011 13:27]

Во-первых, владелец может не пользоваться ОК , а продолжать пользоваться МК (даже не подозревая о появившемся разделении :-) ) - только в этом случае для него действительно ничего не меняется.

Но у клиента Инбанка есть дополнительные возможности в случае подозрений к ключу:
- отозвать немедленно "опасный ОК" (в т.ч. по старинке с телефона в ТП) и с помощью МК (в сейфе - утрированно, может быть в другом кармане) выпустить новый ключ;
- выпустить заблаговременно несколько ОК, блокировать их при появлении сомнений и продолжать безопасно пользоваться ИБ, не дожидаясь возвращения домой или открытия офиса Инбанка на Цейлоне :-)


Именно. Но на практике клиенты передают свои ключи сотрудникам - это факт. С ОК риски от этого нарушения можно снизить.

Другими словами, если бы все были асами вождения, соблюдали ПДД и регламенты ТО, то ремни и подушки безопасности были бы не актуальны - но их ставят "по кругу", учитывая реалии.
Всяко! :-)
Благодарю за первые в этой теме высказывания по существу!