новсти Е1, новосной копипаст

Да уже вроде и так рассказывала, и эдак, а какой-то день сурка бесконечный))



Да, слушайте, когда столько гадостей лично в мой адрес, хотя вроде бы обсуждение продукта шло, наговорили, грех не обидеться)))))

[Сообщение изменено пользователем 25.07.2012 15:48]

дык вы рассказываете не то, что у вас спрашивают, а то что вам удобно (знаете, поручили, привлечет клиентов - нужное подчеркнуть) :-)

Ну зачем уж так! :-)
В ваш адрес гадостей никто не говорил ? люди собрались приличные, девушек обижать не приученные.
То, что ?понабежали? ? так не от желания над банком поглумиться, а потому что тема интересная, как и все темы, касающиеся вопросов безопасности ? они обычно всегда стягивают специалистов разных банков вне зависимости от того, в отношении какого банка разговор был затеян.
А что касается конструктивизма в теме ? так от вас все зависит, раз уж вы за банк с его ?продуктом? отвечать взялись. Привлеките специалистов своих, пусть они комментировать помогают.
Только не надо ответов в стиле: ?зато у нас песни хорошие?.

[Сообщение удалено пользователем 25.07.2012 16:41]

Дак пока диалоги в стиле:
-Йогурт свежий?
-Грушевый.

Я с грехом пополам понял что есть электронный чек и что покупатель пальцем закорючку ставит. А еще список осей. Кстати про него:

ну ладно симбиан помирает, а андроидовые смартфоны уже недорогие. Под Windows обычным для сопряжения с ноутом штука сия работает или все же заточено под мобильный устройства аля телефон/планшет?
Ну это так чтобы отвлечься от острой проблемы безопасности.



+1

Дак спрашивают одно и то же разными словами)) Уже не могу придумать новую формулировку одному и тому же ответу)



Я, честно говоря, не совсем понимаю, в чем тут проблема образовалась, и почему без моих или моих коллег ответов никто из специалистов других банков не может ни в чем разобраться)) Вроде все отписались, что знают все отлично, читали, думали, более того, якобы даже знают, как это реализовано у нас?

[Сообщение изменено пользователем 25.07.2012 16:47]

Отлично! Приношу конструктивизм: давайте общаться в открытую?) Предлагаю начать с того, чтобы специалистам написать в своих профилях, в каких банках Вы работаете, думаю, так будет гораздо честнее, чем флудить анонимно, не так ли?))

[Сообщение изменено пользователем 25.07.2012 16:51]

Я уже лет пять на банки не работаю, зарплаты маленькие :cool: Последнее место работы правительство Воронежской области :cool: Вам легче стало "отстаивать" "втычку"???

Работает))

Я обращалась скорее к тем, кто не скрывает, что он специалист банка, при этом активно призывает раскрыть технические подробности. При этом форумчан не смущает, что таким образом снижается безопасность работы) Вот и хочется понять, в каких банках принято такое) Я бы хотела задать встречные вопросы, у нас же диалог все таки))

[Сообщение изменено пользователем 25.07.2012 17:01]

Вы не правильно поняли, OTP даже с огромной натяжкой нельзя считать "подписью".....

Знание технологии снижает безопасность, Вы не совсем в теме алгоритм генерации ПИН-кода публичный, PKI - публичная технология и прочая (могу продолжить)... Вы пытаетесь спецов убедить, что публичность технологии повышает риски компроментации технологии?

Ни в коем случае) Давайте вообще разделим отвлеченную дискуссию на тему втычек как явления и того, как это реализовано у нас.

Втычки как явление, и об этом я писала в своем первых сообщениях, могут использоваться кем угодно и как угодно. Тут можно придумать кучу мошеннических схем, что некоторые форумчане-представители банков и обсуждают.

Втычки, которые являются услугой Банка24.ру, заточены под эквайринг. При этом мы говорим о том, что все в соответствии с требованиями закона, что есть системы безопасности, которые минимизируют риски. Призывают же именно рассказать, как же у нас эти системы настроены, в технических подробностях. Ни для кого не секрет - кроме, возможно, тех представителей банков, которые призывают рассказать - что если писать о таких вещах, можно смело прибавлять инфу по тому, по какому алгоритму они работают, на каких моментах что происходит, и все это здесь, на одном из самых популярных форумов, и нет никакой гарантии, что сейчас ветку не читают недоброжелатели.

[Сообщение изменено пользователем 25.07.2012 17:40]

мой банк УрФУ зовется :-D

знание алгоритмов не снижает безопасность, собственно выше вам уже ответили:-)

ну вот я обратно запутался:-( Я то думал там как в Ашане пальцем по экрану изобразил подпись.


Да черт с ним как они работают, какие ваши системы безопасности минимизируют риск скриминга с помощью "втычки"? Ну вот просто какая/какие. Я тут все еще общий алгоритм работы понять не могу, нафиг мне эти настройки. Если недоброжелателей сильно припрет они придут к вам откроют счет и все это увидят сами. Вы хоть пошаговую схему на вашем сайте нарисуйте как это в целом работает.
Просто лично у меня создается ощущение что или их нет или нет понимание что и как. Потому что ранее банк всегда хвалился своими системами защиты когда было о чем рассказать.

[Сообщение изменено пользователем 25.07.2012 21:00]

На сайте - пожалуйста)) http://www.bank24.ru/bank/iso/ Возможно, так станет более понятен смысл моих постов))



Мы и сейчас ими гордимся))

По существу - попытка посягнуть на достоинство собеседника, открытая вражда, провокации, флуд пресекаются на данном форуме?)) Вопрос к модераторам)

[Сообщение изменено пользователем 25.07.2012 23:16]

не хочу вас разочаровывать, но система менеджмента безопасности напрямую никак не снижает риск скриминга для покупателя через втычку. Вообще система менеджмента напрямую не снижает никакого риска, она позволяет ими управлять;-) О чем вам кстати выше уже писали. Или вы хотите сказать что все что конкретнее уже раскрывают вашу безопасность?:-)
Там внизу еще про соответствия требованиям ФСТЭК, но это вообще про инетбанки с ЭЦП, так что тоже мимо кассы.
Я вроде вполне конкретно спросил:



Ну дак это хорошо и правильно, если у вас есть чем защищать втычки расскажите, мы тоже за вас погордимся! Или же ничего конкретнее чем ISO стандарты мы не добьемся?

Объясняю. Специалисты посмотрели и видят, что есть дыра архитектурная. Ну хоть что делай (сигнализацию, двери железные), однако если у амбара 4-й стены нет - это совсем не безопасный склад.
Вас спращивают: "как же Вы без 4-й стены склад-то безопасным сделали?". Вы отвечаете: "а у нас все сертитфицировано, а спецы сами должны понять". На уточнения "кем сертифицировано и на соответствие чему?" - упорно молчите.


Вы не поверите, но в нормально защищенных системах общая схема работы и использованные алгоритмы не являются секретом.
http://en.wikipedia.org/wiki/Security_through_obsc...
Если Вам этот принцип не знаком, спросите у Андрея Владимировича, он пояснит. Если принцип функционирования защиты является секретом, значит это плохая защита.
Правило Керкхоффа (не путать с Киргхофом) состоит в том, что весь алгоритм шифрования, кроме значения секретного ключа, известен криптоаналитику. Вольная трактовка: "стойкость шифра обпределяется стойкостью шифровальщицы, а не знанием алгоритма".


Смысл давно понятен: или Вы искренне не понимаете, о чем пишете, и о чем Вас спрашивают, или все понимаете, и умышленно напускаете туман.
Сертификация процесса ничего не гарантирует относительно конечного продукта.
АвтоВАЗ, извините, тоже сертифицировал ПРОЦЕСС производства на соответствие одному из стандартов УПРАВЛЕНИЯ качеством. Как это сказалось на качестве конечного продукта? Наверное, как-то положительно. Но продукция иномарками от этого не стала, и "ихним" стандартам на ПРОДУКЦИЮ не соответствует.


Я не скрываю - с апреля этого года я не сотрудник банка. До этого работал 6 лет в ЦБ, 9 лет в "Северной Казне", 3 года в "НЕЙВЕ".
Но когда я вижу, что пиарят ОПАСНУЮ технологию, при этом не сообщают клиентам о "подводных граблях" - молчать не буду. Тем более, что страдать от небезопасности этой технлогии будете не вы и не ваши клиенты, а держатели карт других банков.


См. выше про "Security through obscurity".

что-то ваша реклама напоминает МММ-вскую.
Все работает, всем всё выплачивают, закон не нарушается и вообще всё круто. ;-)
Неприятное в такой ситуации, что даже понимающий покупатель изначально может не знать, что продавец будет принимать оплату по ПК через "втычку".
Принимаете карты? да! А потом человек проедет на такси, покушает с дамой в ресторане, и принесут ему для оплаты "втычку". А налички нет и даму в залог не оставишь.

и данное, конкретное ПО, "ВТЫЧКИ" тоже????

то есть у вас к этой штуке есть примерно такое?


Фотография из Фотогалереи на E1.ru

Дима, какой EMVCo? Издеваешься?
Фантастика в соседнем отделе :-)

А я всё-таки никак не могу понять причём тут 3D-Secure\Secure Code и "втычка" - 3D-Secure\Secure Code это из области электронной коммерции. Или транзакции с "вытчки" идёт с тегами электронной коммерции?

Кстати сам термин "3D-Secure\Secure Code", который употребляет Татьяна, мне непонятен. 3D-Secure это общее описание технологии проведения платежей для эл.коммерции с использованием дополнительной аутентификацией эмитентов. Конкретная реализация данной технологии у MasterCard называет MasterCard Secure Code, у Visa называется Virified by Visa. Что означает "эквайринг сертифицирован по 3D-Secure\Secure Code" мне непонятно - имеется ввиду только MasterCard или и Visa тоже? Опять-таки наличие у банка сертификации (а здесь я так догадываюсь речь даже не о сертификации Банк24.ру, а о сертификации Приватбанка) вовсе не означает что конкретный интернет-магазин или сервис у банка работает по данной технологии, сертификация это всего лишь подтверждённая ПС возможность работать по данной технологии.

Думаю "здесь рыбы нет" - проще все вопросы задать напрямую в Приватбанк.

ну чо....... я же по доброму............ ;-)
просто Татьяна все время говорит про сертификаты
вдруг у них что то есть на втычку,
покажет, :ultra: мы удивимся 8(


Татьяна все здесь отписавшиеся, боятся не конкуренции, а того, что карты выпущенные в ИХ банках будут скомпрометированы в ДАННЫХ устройствах.
В связи с чем у многих из них возникнут дополнительные головные боли.
Мы просто хотим понять безопасно ли для наших держателей карт, ваши устройства.
Пока из всего что я понял, НЕТ.

По злому умыслу или по незнанию, тел. владельца втычки может превратится в устройство скиминга.


[Сообщение изменено пользователем 26.07.2012 11:48]

Татьяна! Я понял, что чтобы усилить безопасность втычки Вам эти самые втычки нужно продавать вместе с дешевыми простенькими телефонами в одной заваренной коробке с минимальным доступным снаружи интерфейсом.
Чтобы никто ничего туда не смог поставить. Пусть цена будет не 500руб., а 2500...
Я для себя понял, что во втычку свою карту не буду тыкать...

надо поставить внутрь корпуса "втычки" какой то аппаратный шифратор, энергонезависимую память, Научится в память грузить ключи шифрации.
и залить все это бокситкой, или чтобы при попытке вскрытия все там сбрасывалось. Но опять же одним микриком в определенном месте не обойтись.
Чтобы передаваемые данные карты, в аудио разъем телефона шли уже в какой то мере не в открытом виде.
Если это реализовано, снимаю щляпу.
Хотя на сколько это опять же это согласуется с требованиями безопасности не скажу .....не знаю

Апиридил:-)
То есть по сути получается практически мобильный терминал, только без GSM-модуля. Кстати кто нибудь в курсе сколько стоит настоящий терминал??? Ну хотя бы порядок цен???