ELEKTRONICKÉ BANKOVNICTVÍ (seminář pro studenty BIVŠ obor IT a EO)

ELEKTRONICKÉ BANKOVNICTVÍ (seminář pro studenty BIVŠ obor IT a EO) Doc. Ing. B. Miniberger, CSc Zpracováno podle : 3. 4. 5. 6. 7. 8. 9. 10. 11.

Knihy: Přádka M., Kala J.: Elektronické bankovnictví, Computer Press Praha 2000, ISBN 80-7226-328-5 http://www.bsc.cz http:// www.csob.cz http:// www.kb.cz http:// www.zb.cz http://www.gemoney.cz http:// www.csas.cz http:// www.ebanka.cz http://www.bankyvcr.info/ 1

Obsah • Úvod (ICT v bance) • Platební karty • Přímé bankovnictví – – – –

Telefonní bankovnictví Mobilní komunikace (GSM Toolkit) Homebanking Internetové bankovnictví

• Příklady a odkazy na přímé bankovnictví (GEMINI)

© B. Miniberger, BIVŠ

2

ICT v bance Klient

Zákazník s mobilním telefonem

Pracovník sledující transakce

Hlavní databáze

Firewall

Firewall Webový server

Autentizační systém

Platební transakční systém

Homebanking

Hlavní server

Hlavní databáze

Firma zajišťující platební transakce Hlavní transakční systém

Hlavní systém pro zúčtování platebního CRM systém styku

Bankovní přepážka

Hlavní server

Systém eletronického bankovnictví

Pobočkový sever

Marketing Kontaktní Pobočkový centrum

Banka


Firewall

3

Pobočkový bankovní systém

systém

Platební karty • Kreditní v. Debetní karta – Kreditní kartou si půjčeme od banky peníze a tento úvěr následně včetně úroků splácíme – Debetní kartou v případě zaplacení čerpáme z účtu vlastní peníze. Nejprve je daná částka zablokována a až dojde k účetnímu vypořádání obchodu, banka ji z vašeho účtu odečte.

• Teritoriální použití platebních karet • Elektronické v. Embosované karty • Nejrozšířenější systémy platebních karet – Bankovní asociace (VISA International, Europay/Master Card) – Nebankovní asociace (American Express, Dinners Club International, JCB)

• Čipová karta • Ztráta či krádež karty • Doplňkové služby k platebním kartám © B. Miniberger, BIVŠ

4

Vztah karetní asociace, obchodníka a bank KARETNÍ ASOCIACE (EC/MC, VISA, AMEX BANKA

TOK PENĚZ

ZÁKAZNÍKA

OBCHODNÍKA TELEFONNÍ NEBO PEVNÉ PROPOJENÍ

OBCHODNÍK KARTA

ZÁKAZNÍK PLATÍCÍ KARTOU © B. Miniberger, BIVŠ

BANKA

5

Počet platebních karet přesáhl v ČR 10 milionů (Zdroj: BANKOVNICTVI.IHNED.CZ, 20.6.2008 • Z průzkumu společnosti MasterCard, který byl zaměřen především na vnímání a používání kreditních karet v České republice vyplývá, že Češi nakupují prostřednictvím kreditních karet zejména elektroniku a její součásti (45 %), potraviny a zboží běžné spotřeby (27 %) či nábytek a vybavení domácností (20 %). • V České republice bylo ke konci roku 2007 vydáno přes deset milionů platebních karet - 6,9 milionu debetních a 3,2 milionu kreditních karet. Prolomení desetimilionové hranice přiblížilo ČR k poměru jedna platební karta na každého obyvatele. Dynamický růst vykazuje především segment kreditních karet, jejichž počet se meziročně zvýšil o 26 %. Vyplývá to z údajů bank a splátkových společností


6

Schéma banky pro přímé bankovnictví


7

Telefonní bankovnictví Realizovatelné operace: • Pasivní operace – Zjištění zůstatku na účtu – Informace o pohybech na účtu – Informace o zadaných a z různých důvodů neprovedených transakcích – Informace o produktech a službách banky – Úrokové sazby – Kurzovní lístek

• Aktivní operace – – – – – –

příkaz k úhradě Trvalý příkaz k úhradě Příkaz k inkasu Trvalý příkaz k inkasu Zahraniční platební styk Založení, změna nebo zrušení termínovaného vkladu


8

Telefonní bankéř PEVNÁ TELEFONNÍ LINKA KLIENTA

TELEFONNÍ BANKÉŘ

JEDNOTNÁ TELF. SÍŤ

MOBILNÍ TELEFON KLIENTA © B. Miniberger, BIVŠ

BANKOVNÍ SYSTÉM

CIF

9

Automatický telefonní styk PEVNÁ TELEFONNÍ LINKA KLIENTA

AUTOMATICKÝ TELEFONNÍ SYSTÉM

JEDNOTNÁ TELF. SÍŤ

MOBILNÍ TELEFON KLIENTA © B. Miniberger, BIVŠ

CIF

10

Komunikace s klientem 1. 2. 3. 4. 5. 6.

Klient zavolá na příslušné číslo (800X..Y..) Systém ATS ho požádá o sdělení osobního čísla Klient vloží na svém tlf. požadované číslo a # V Případě nalezení klienta v CIFu, požádá jej o PIN Klient vloží na svém tlf. PIN a # Systém ověří shodu vložených znaků a požádá tlačítkovou volbu o volbu operace 7. Nastane zpracování operace u pasivní operace automaticky, u aktivní operace je klient spojen s telefonním bankéřem, který aktivní operaci provede. 8. O výsledku operace si může klient nechat zaslat dokument faxem nebo e-mailem. 9. Operaci ukončí (buď zavěsí nebo sdělí ukončení operátorovi) © B. Miniberger, BIVŠ

11

Konverzant - Ebanka


12

Mobilní komunikace (GSM Toolkit) (GSM-standard pro mobilní telefony - GSM (Global System for Mobile Communication)

• Základní pojmy – SIM karta aktivuje mobil a umožňuje tak využívat všech služeb v síti mobilních telefonů GSM – PIN Personal Identification Number, PUK (Personal Unblocking Number) – SMS – krátké textové zprávy

• Klienti prostřednictvím SMS zpráv a menu mají možnost komunikovat se svou bankou, se kterou uzavřeli smlouvu o GSM banking. SMS požadavek Mobil klienta

SMS požadavek Operátor sítě GSM

Odpověď SMS © B. Miniberger, BIVŠ

Bankovní systém Odpověď SMS

13

Technické řešení pevného propojení (dříve Paegas, nyní T – mobile)

MSC – mobilní ústředna SMSC – centrum krátkých textových zpráv, pro rozesílání zpráv týkajících se pouze činnosti klienta. Dá se realizovat dvěma způsoby: A – připojení X.25 (veřejná síť) B – připojení TCP/IP – přímý spoj k SMSC Paegas © B. Miniberger, BIVŠ

14

GSM banking ČS je poskytován prostřednictvím operátorů mobilní sítě:


15

Bankovní služby GSM SIM Toolkit


16

WAP (Wireless Application Protocol) •WAP se dá zjednodušeně přirovnat k webovým stránkám. • Jde o jakousi bránu k nejrůznějším službám, jež připravuje operátor mobilní sítě nebo jiná firma. •Na rozdíl od webovských stránek, však WAP počítá s výstupem na malé displeje

Mobil podporující WAP

WAP brána operátora sítě GSM

WAP brána operátora sítě GSM WAP stránky banky Bankovní systém


17

Zasílání zpráv prostřednictvím Internetu Váš počítač

Poštovní server Vaší banky

IE Klientská databáze

Pošta

SMTP

POP 2

SMTP

1 SMTP

SMTP Poštovní server Vašeho poskytovatele připojení

SMTP Simple Mail Transfer Protocol POP – Points Of Presents

Schránka © B. Miniberger, BIVŠ

URL Uniform Resource Locator 18

Např. http://www.kb.cz

Upozornění zabezpečení od CA


19

Výstraha zabezpečení

Název certifikátu souhlasí s názvem stránky, kterou se pokoušíte zobrazit


20

Certifikační autorita Masarykovy univerzity

Vystavitel je „adresný!“


21

Internet banking Transakce prováděná pomocí internetu je několikrát levnější než transakce provedená pomocí telefonu a až stokrát levnější než na pobočce

Počítač klienta

ISP klienta

INTE RNE T ISP banky

Veškerá komunikace mezi klientem a bankou je zašifrována pomocí klíčů (SSL Secure Socket Layer)

Bankovní systém

Délka klíče až 256 bitů


22

Příklad šifrování pomocí klíčů • U asymetrických šifer je k zašifrování dat použito jiného klíče než k rekonstrukci těchto dat • Symetrické šifry jsou takové, u nichž se stejný šifrovací klíč používá jak pro zašifrování, tak pro zpětnou rekonstrukci dat. Odesílatel – „O“ Data určená k šifrování

Šifrování dat autorem pomocí veřejného klíče příjemce

Xxwqrtyx zakuswvit ymhds Přenos dat

Příjemce „P“ Dešifrováná data


Dešifrování dat pomocí soukromého klíče příjemce

Data určená k šifrování

23

Příklad asymetrického šifrování Odesílatel "O"chce poslat zprávu příjemci "P" • „P“ si vygeneruje dvojici klíčů. První je tajný, soukromý. Nazveme ho SK_P. Druhý je veřejný. Nazveme ho VK_P • „P“ pošle VK_P „O“, při kterém se může „O“ jakýmkoliv způsobem přesvědčit, že klíč pochází od "P". (např. si jej převezme osobně na disketě) • "O„ napíše zprávu a tuto zprávu zašifruje pomocí VK_P • Tuto zašifrovanou zprávu pošle "O„ libovolným způsobem „P“ • "P„ rozšifruje zprávu pomocí SK_P Délka klíčů a rozluštitelnost: 40 bitový, 60 bitový - oba jsou technologicky i finančně rozluštitelné 80 bitový - jenom technologicky, nikoliv finančně 128 bitový - je technologicky nerozluštitelný, pouze „finančně“ 256 bitů - v současnosti nejdokonalejší způsob zabezpečení, jehož rozluštění je mimořádně finančně nákladné © B. Miniberger, BIVŠ

24

Druhy internetového bankovnictví • Neplnohodnotné – vázáno na konkrétní počítač (Homebanking) • Plnohodnotné - přístupné z jakéhokoliv počítače připojeného k Internetu proto také nazývané Internet banking) Příklady: • • • •

GEMINI (www.bsc.cz) ČSOB (www.csob.cz) Česká spořitelna (www.csas.cz) E-banka (ebanka.cz)


25

Homebanking – banka v počítači • Jedná se o způsob komunikace klienta a banky za pomocí osobního počítače vybaveného speciálním SW, přičemž samostatný přenos probíhá pomocí telefonické linky a modemu (vytáčené nebo pevné spojení) • Formy komunikace: – Přenosná média a BBS (CD-ROM, médium ZIP nebo JAZ apod. resp. Bulletin Board Systém a přenosem dat pomocí tlf. linky) – dnes již zastaralé – PC + veřejná datová síť např. BEST KB Homebankig ČSOB,

• Komunikace je prováděna zabezpečeným přenosem


26

Základní operace ČSOB Homebanking • • • • • • • • • • • • • •

zadávání tuzemských platebních příkazů k úhradě/inkasu zadávání platebních příkazů k úhradě do zahraničí on-line aktuální zůstatek účtu on-line historie účtu (až 30 dní zpětně) možnost nastavení limitů pro platební příkazy zřízení, změna a zrušení trvalých příkazů k úhradě/inkasu svolení k inkasu zřízení, změna a zrušení termínovaných vkladů, možnost zřízení termínovaných vkladů s individuální úrokovou sazbou provádění modelových výpočtů výnosnosti produktů on-line blokace peněžních prostředků a výplatních šeků on-line zobrazení zůstatku na účtu a historie účtu zobrazení, export a tisk elektronických výpisů z účtů, včetně možnosti zasílání i šifrovaným e-mailem cash pooling (vzájemné řízení zůstatků mezi centrálním a závislými účty klienta) zobrazení a tisk seznamu vytvořených platebních příkazů a protokolů o jejich zpracování doplňkové informace (zobrazení, tisk a export kurzovních lístků).

Pro identifikaci a autentizaci klient využívá certifikáty certifikační autority I.CA. Pro autorizaci při aktivních operacích je využíván elektronický podpis, pro vstup do aplikace přístupová hesla. Bezpečnostní aspekty jsou řešeny prostřednictvím kombinace symetrické a asymetrické kryptografie. © B. Miniberger, BIVŠ

27

Bezpečnost internetového bankovnictví (Bezpečnost a ochrana dat - BPO je pak samostatným předmětem ve 3. r. bak. st.)

•

Fyzická bezpečnost vs. Bezpečnost aplikace – Fyzická bezpečnost (viz BPO) – Bezpečnost aplikace spočívá v provádění autentizace klienta, certifikace dat a v jejich ověření, ochrana dat šifrováním)

•

Bezpečná internetová banka musí dbát na 1. Na bezpečnou komunikace s klientem (šifrování, autentizace protistrany, prokazatelnost původu zprávy) 2. Zabránění průnikům dovnitř banky po Internetu 3. Zabezpečení zneužití zevnitř banky 4. Zajištění principu „co není dovoleno, je zakázáno“ 5. Použití systému „4 očí“ u každé operace jsou nejméně 2 zaměstnanci (nebo logování každé elektronicky prováděné operace 6. Precizní systém přístupových práv pro interní uživatele bankovního systému 7. Další technologická ochrana spočívající v SW na “fraud detection“ © B. Miniberger, BIVŠ

28

GEMINI - univerzální vícekanálový systém přímého bankovnictví


29

GEMINI - GSM banking


30

Charakteristika PC bankovnictví • Řešení je vyvinuto na společné platformě GEMINI s důrazem na potřeby zákazníka. Konzistentním způsobem tak podporuje veškeré komunikační kanály (Internet, Call centrum, GSM, IVR ...) • Díky elektronickým podpisům, šifrování dat, principu neodmítnutelnosti, ověření pravosti založeném na principu tokenů, PKI řešení a dalším, zajišťuje PC bankovnictví vysokou bezpečnost. • odstraňuje zátěž s aktualizací software pro velkou klientskou základnu. Uživatelům bankovních produktů je automaticky zasílán upgrade nových verzích nebo aktualizací individuálních modulů a mohou spouštět automatizované procedury pro načtení a instalaci tohoto software. • přichází s integrovanou aplikací "Návrhář formulářů", která byla vyvinuta s cílem umožnit bankám přizpůsobení vstupně/výstupních formulářů systému nebo vytvořit nové. S pomocí této aplikace je banka schopna změnit obsah a vzhled vstupně/výstupních formulářů, stejně jako přidávat nové služby nebo produkty, bez nutnosti změny samotného kódu aplikace • zajišťuje optimální provoz (včetně monitoringu) aplikace určené k nepřetržitému chodu. Poskytuje rychle použitelné řešení umožňující jednoduchý upgrade, konfiguraci, implementaci a vykazuje vysokou spolehlivost, soukromí, bezpečnost, škálovatelnost a rozšiřitelnost


31

PC bankovnictví poskytuje služby (s podporou mnoha jazyků a měn) : • Poskytování informací – – –

Zůstatky a transakce, jak ze současnosti, tak i kompletní historie klienta a také cash-flow projekce Detaily mnoha úrovní Schopnosti agregace účtů

• Administrace zákazníků – –

Oprávnění ke stanovení práv a privilegií pro nové nebo stávající uživatele Důmyslná podpisová pravidla

• Služby souborů – – –

Načítání účetních informací pro sladění a integraci se saldokontem odběratelů a dodavatelů Export dat a import plateb v různých formátech (DBF, CSV, HTML, ID, fixed, atd.) Skriptovací jazyk pro formátování dat (zpracování řetězců, formátování, matematické a logické funkce, zpracování dat, převody znakových sad, atd.)

• Půjčky –

Tento modul umožní zákazníkům žádat o půjčky

• Další služby –

Bezpečný mail, SMS, Fax, e-mailové zprávy a potvrzení, individuální nastavení a preference, správa certifikátů ...

• Depozita – – –

Termínové vklady s fixními nebo pohyblivými úrokovými sazbami Revolvingová termínová depozita Systém nabízí kombinace sazby a termínu definované bankou

• Platební příkazy – – –

Podporuje domácí a zahraniční platby, platby třetí strany, trvalé platební příkazy, proplacení účtů, převody fondů a mnohem více ... Víceúrovňová autorizace Tvorba vzorů pro opakované platby


32

GEMINI - PC bankovnictví


33

GEMINI-PC bankovnictví


34

Příklad GEMINI PC bankovnictví (zadávání platebních příkazů)


35

Call center


36

Mobilní bankovnictví •Mobilní bankovnictví nabízí pro banky inovativní a efektivní způsob realizace mobilního bankovnictví na zařízeních typu: • Personal Digital Assistant (PDA) nebo na •mobilním telefonu s technologií Wireless Application Protocol (WAP). •Poskytuje bankám a finančním institucím atraktivní distribuční kanál se širokým spektrem dostupných finančních služeb © B. Miniberger, BIVŠ

37

Telefonní bankovnictví je aplikací typu IVR (IVR - Interactive Voice Response - interaktivní hlasový systém), která automatizuje telefonní komunikaci s volajícími zákazníky. Tato aplikace umožňuje uživatelům získat takové informace jako např. aktuální zůstatky na účtech, sazby a také vykonává celou škálu zabezpečených finančních transakcí jako jsou příkazy k úhradě, depozita a mnoho dalších


38

Samoobslužné terminály Samoobslužné terminály pomáhají bankovním a finančním institucím snižovat náklady automatizovanými transakcemi, generovat příjmy ze služeb, upevňovat firemní značku, produkty, služby a také poznat zvyklosti klientů

•Samoobslužný terminál zajišťuje optimální provoz (včetně monitoringu) vašich aplikací určených k nepřetržitému chodu. •Poskytuje rychle použitelné řešení umožňující jednoduchý upgrade, konfiguraci, implementaci a vykazuje vysokou spolehlivost a soukromí © B. Miniberger, BIVŠ

39

Zabezpečení přenosu dat a identifikace banky http://www.mesec.cz/clanky/rizikove-prime-bankovnictvi/

• Přenos bankovních informací je choulostivou záležitostí a jeho zabezpečení musí být věnována patřičná pozornost. Zabezpečení průběhu komunikace s bankou a následné identifikace lze dále rozdělit do tří kategorií. – V prvé řadě jde o ověření identity banky, – za druhé se jedná o šifrování samotných dat a – třetí kategorií je bezpečnost prohlížeče. V případě ověření identity banky jde o zajištění toho, aby byla předávaná citlivá osobní data nasměrována správnému subjektu.

•

Z tohoto důvodu musí být zajištěna nejen identifikace zákazníka, ale také ověřena totožnost bankovního ústavu. V praxi tuto podmínku naplňují všechny banky shodně, a to využíváním tzv. protokolu SSL, v jehož případě sehrává důležitou roli webový prohlížeč, který na klientský počítač certifikát stahuje, ověří a postará se o všechno potřebné. © B. Miniberger, BIVŠ

40

Výběr webového prohlížeče • Výběr webového prohlížeče je věcí klienta a jehož bezpečnost je pro komunikaci klíčová. Rizika v jeho případě souvisí zejména s bezpečnostními chybami vzniklými při jeho vývoji a možností napadení počítače špionážním softwarem, čemuž lze účinně zabránit sledováním bezpečnostních hlášení, včasným záplatováním, aktualizacemi, instalací antivirových balíků, odstraňovačů spyware a výběrem bezpečného přístupu k aplikaci. • Samotným výběrem prohlížeče můžeme mnohým rizikům předejít. Například z pohledu množství chyb a rychlosti jejich oprav jsou na tom alternativní prohlížeče mnohem lépe než Internet Explorer. Chyb je totiž v jejich případě celkově mnohem méně a jsou rychleji opravovány.


41

Autentizace klienta Rizika zabezpečovacích prostředků internetového bankovnictví“ – Za nejméně bezpečné je zcela oprávněně považováno přihlašování (a autorizace plateb) uživatelským jménem a heslem (či jejich obdobami). – Bezpečnější jsou certifikáty, ale i ty mají svá rizika. U nich velmi záleží na tom, jakým způsobem jsou používány. Jsou-li uloženy na disku počítače (nebo dokonce veřejně na internetu), je velmi snadné je získat. Mnohem bezpečnější jsou na externím médiu (disketa, CD, USB disk), které je k počítači připojováno pouze za účelem podpisu – Jinou kategorií zabezpečení je zasílání SMS kódů na mobilní telefon. V tomto případě jsou dvě možnosti komunikace s bankou - s šifrovaným přenosem pomocí SIM Toolkit a klasické nešifrované SMS zprávy. První varianta má navíc tu výhodu, že přístup k obdržené bankovní zprávě je chráněn navíc bankovním PIN kódem. – Jedním z nejbezpečnějších prostředků ochrany internetového bankovnictví je PIN kalkulátor. Jeho výhodou oproti mobilnímu klíči je, že nedochází k přenosu kódu od banky k uživateli a zpět (banka zašle kód na mobilní telefon a uživatel ho po síti internetu posílá zpět do banky k ověření), ale uživatel si generuje kód na základě údajů o transakci, který zasílá bance. Banka na základě stejného algoritmu a stejných vstupních údajů vygeneruje kód také a oba následně porovná.


42

Desatero bezpečného používání internetového bankovnictví 1.Neprozrazujte přístupové kódy a hesla k účtu blízkým osobám ani pracovníkům banky. 2. Nezaznamenávejte si přístupové kódy a hesla k účtu. Pokud jste k tomu nuceni např. složitostí uživatelského jména a délkou hesla, snažte se je zaznamenat způsobem, který nenapoví případnému nálezci kódů, že se jedná o přístup k internetovému bankovnictví. Zároveň uchovávejte přístupové údaje (např. uživatelské jméno a heslo) odděleně. 3. Pravidelně měňte užívaná hesla. 4. Vyhýbejte se užití neznámých počítačů např. v internetových kavárnách, zvláště pokud nepoužíváte jednorázová hesla pro vstup na účet. V případě, že neznámý počítač musíte využít, při nejbližší následné příležitosti změňte heslo. 5. Pravidelně aktualizujte internetový prohlížeč a operační systém. 6. Využívejte a pravidelně aktualizujte antivirové programy. 7. Podpisový certifikát neukládejte na pevný disk ani na internet. 8. Nedůvěřujte e-mailům z banky, které jste si neobjednali. Nikdy své bezpečnostní údaje neposílejte e-mailem. 9. Ověřte si certifikát stránky, na které se k účtu přihlašujete. Pokud se vám přihlášení k účtu nepodaří, přestože vkládáte dle vašeho názoru správné uživatelské jméno a heslo, neprodleně kontaktujte banku - mohli jste být přesměrováni na jiné stránky. 10. Při ukončení práce s internetovým bankovnictvím se vždy odhlaste a zavřete okno prohlížeče. © B. Miniberger, BIVŠ

43

Hodnocení bezpečnosti IB českými uživateli

• http://www.root.cz/clanky/autorizace-v-internetovem-ban


44

Bankovní poplatky


45

Legislativa


46

Zákony z oblasti Banky, platební styk Nejznámější předpisy v této oblast:i

č. 21/1992 Sb č. 6/1993 Sb č. 377/2005 Sb č. 61/1996 Sb č. 124/2002 Sb


Zákon o bankách Zákon o České národní bance Zákon o finančních konglomerátech Zákon o některých opatřeních proti legalizaci výnosů z trestné činnosti Zákon o platebním styku

47

Žádné internetové bankovnictví není zcela bezpečné


48

ELEKTRONICKÉ BANKOVNICTVÍ (seminář pro studenty BIVŠ obor IT a EO)

Recommend Documents