В Альфа-Банке реализована мобильная электронная подпись с помощью PayControl - SafeTech | SafeTech

В Альфа-Банке реализована мобильная электронная подпись с помощью PayControl

В современном банкинге к электронной подписи предъявляется огромное количество требований как со стороны регуляторов, так и со стороны службы информационной безопасности банка. Интегрировать электронную подпись в мобильное приложение банка, с соблюдением всех требований так, чтобы клиенту было удобно работать, — непростая задача.

В Альфа-Банке с помощью электронной подписи можно подписать более 150 видов электронных документов юридических лиц. Как сделать так, чтобы клиенты подписывали документы с телефона быстро, просто и безопасно, рассказали эксперты Альфа-Банка и SafeTech Group.

 

Как все устроено

В банке есть собственная платформа для работы с электронной подписью и машиночитаемыми доверенностями. Платформенный подход помогает банку оперативно дорабатывать механизмы подписания документов, например, при изменении законодательства или внедрении новых функций. А клиенты с помощью платформы управляют собственными процессами — настраивают способы и маршруты подписания.

Платформа Альфа-Банка поддерживает несколько схем работы с электронной подписью.

Квалифицированная и неквалифицированная электронная подпись на USB-токене, как правило, используется при работе на ПК. Токен защищен ПИН-кодом, который вводится один раз за сессию. Дальше все документы подписываются одним нажатием.

Квалифицированная и неквалифицированная подпись со смартфона. Это один из самых оперативных способов работы с документами, поскольку смартфон с мобильным приложением банка всегда с собой. Но как сделать так, чтобы подпись на смартфоне была безопасной, удобной и соответствовала требованиям законодательства?

 «С этим вопросом мы обратились в компанию SafeTech, — рассказал Константин Дербуш, руководитель платформы электронного подписания документов юридических лиц в Альфа-Банке. — Нашей целью было сделать подписание в мобильном банке максимально простым и безопасным для клиентов, и при этом соблюсти нормы 63-ФЗ и Положения Банка России № 851-П».

 

Неквалифицированная электронная подпись для подтверждения операций в мобильном банке

Для реализации Альфа-Банк выбрал решение PayControl — многофункциональную платформу мобильной аутентификации и электронной подписи компании SafeTech. И стал первым банком, который обновил версию PayControl на PayControl ГОСТ, в которой используются сертифицированные СКЗИ — КриптоПро CSP и JCP. Решение формируется усиленную неквалифицированную электронную подпись по стандартам ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012.

Ключ электронной подписи генерируется и хранится в смартфоне клиента. Доступ к ключу электронной подписи осуществляется с помощью ПИН-кода или биометрических датчиков смартфона.

PayControl ГОСТ полностью соответствует положению Банка России № 851-П (683-П) в части реализации мер по обеспечению целостности электронных сообщений.

 

 Как происходит подписание документа в мобильном приложении

«Нам было важно добиться подписания документов с телефона в одно касание, — говорит Константин Дербуш. — И у нас это получилось. Благодаря технологии PayControl ГОСТ смартфон клиента, по сути, становится USB-токеном, который построен на базе сертифицированных СКЗИ и хранит в себе ключи электронной подписи».

Клиент нажимает «Подписать и отправить» нужный документ, дальше смартфон попросит ввести ПИН-код или использовать Face/Touch ID для доступа к ключам электронной подписи и документ отправляется на обработку. Это намного проще и безопаснее, чем вводить СМС.

 

Квалифицированная электронная подпись со смартфона

В банках есть отдельная категория документов, которую можно подписать только квалифицированной электронной подписью. Например, трехсторонний кредитный договор или бухгалтерские документы, которые потом отправляются в ФНС России.

В веб-версиях интернет-банка в этих случаях также используется USB-токен, но Альфа-Банк и SafeTech нашли решение и для мобильной версии.

Альфа-Банк использует решение myDSS для работы с квалифицированной электронной подписью. Это совместная разработка компаний КриптоПро и SafeTech, которая позволяет использовать КЭП со смартфона.

«Особенность этого проекта в том, что благодаря специально разработанному мобильному приложению для работы с КЭП клиенту не требуется покидать экосистему банка», — говорит Дарья Верестникова, генеральный директор STCrypt (SafeTech Group).

 

Использование USB-токена в мобильном банкинге

myDSS также поддерживает работу с ключевыми носителями с NFC и позволяет использовать токен для подписания документов квалифицированной электронной подписью в мобильном приложении банка.

Если смартфон поддерживает технологию NFC, можно просто прислонить токен к телефону и myDSS считает с него информацию. Или можно подключить токен к смартфону с помощью кабеля.

«В данный момент в Альфа-Банке используется технология myDSS. Долгие годы это была самая передовая технология для работы с КЭП со смартфона. Сейчас у нас появилось новое решение, которое выходит на рынок. Это КриптоКлюч. Его особенность в уникальной распределённой схеме подписи, когда ключи пользователя хранятся на мобильном устройстве в распределённом (между сервером и мобильным приложением) виде. Это обеспечивает максимальную степень защиты», — добавляет Дарья Верестникова.

 

Результаты внедрения

«Нам удалось добиться главного – подписание документов в мобильном приложении проходит в одно касание, — говорит Александр Ахматаев, начальник управления развития платформенных сервисов юридических лиц в Альфа-Банке, — В дополнение к этому мы фиксируем серьезное снижение количества обращений клиентов, связанных с проблемами при подписании. Это связано с использованием новых более отказоустойчивых технологий».

Увеличилась доля успешных подписаний, а также больше чем в 3 раза выросла скорость подтверждения операций. Кроме того, увеличилось число пользователей мобильного банкинга, а также запущены новые продукты, запуск которых в мобильном приложении без подписания был невозможен.

Интеграция продуктов SafeTech с платформой электронной подписи позволила Альфа-Банку реализовать стратегию цифровизации обслуживания юридических лиц в полном соответствии с требованиями регуляторов, а также упростить работу с документами пользователям мобильного приложения.