В Альфа-Банке реализована мобильная электронная подпись с помощью PayControl
В современном банкинге к электронной подписи предъявляется огромное количество требований как со стороны регуляторов, так и со стороны службы информационной безопасности банка. Интегрировать электронную подпись в мобильное приложение банка, с соблюдением всех требований так, чтобы клиенту было удобно работать, — непростая задача.
В Альфа-Банке с помощью электронной подписи можно подписать более 150 видов электронных документов юридических лиц. Как сделать так, чтобы клиенты подписывали документы с телефона быстро, просто и безопасно, рассказали эксперты Альфа-Банка и SafeTech Group.
Как все устроено
В банке есть собственная платформа для работы с электронной подписью и машиночитаемыми доверенностями. Платформенный подход помогает банку оперативно дорабатывать механизмы подписания документов, например, при изменении законодательства или внедрении новых функций. А клиенты с помощью платформы управляют собственными процессами — настраивают способы и маршруты подписания.
Платформа Альфа-Банка поддерживает несколько схем работы с электронной подписью.
Квалифицированная и неквалифицированная электронная подпись на USB-токене, как правило, используется при работе на ПК. Токен защищен ПИН-кодом, который вводится один раз за сессию. Дальше все документы подписываются одним нажатием.
Квалифицированная и неквалифицированная подпись со смартфона. Это один из самых оперативных способов работы с документами, поскольку смартфон с мобильным приложением банка всегда с собой. Но как сделать так, чтобы подпись на смартфоне была безопасной, удобной и соответствовала требованиям законодательства?
«С этим вопросом мы обратились в компанию SafeTech, — рассказал Константин Дербуш, руководитель платформы электронного подписания документов юридических лиц в Альфа-Банке. — Нашей целью было сделать подписание в мобильном банке максимально простым и безопасным для клиентов, и при этом соблюсти нормы 63-ФЗ и Положения Банка России № 851-П».
Неквалифицированная электронная подпись для подтверждения операций в мобильном банке
Для реализации Альфа-Банк выбрал решение PayControl — многофункциональную платформу мобильной аутентификации и электронной подписи компании SafeTech. И стал первым банком, который обновил версию PayControl на PayControl ГОСТ, в которой используются сертифицированные СКЗИ — КриптоПро CSP и JCP. Решение формируется усиленную неквалифицированную электронную подпись по стандартам ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012.
Ключ электронной подписи генерируется и хранится в смартфоне клиента. Доступ к ключу электронной подписи осуществляется с помощью ПИН-кода или биометрических датчиков смартфона.
PayControl ГОСТ полностью соответствует положению Банка России № 851-П (683-П) в части реализации мер по обеспечению целостности электронных сообщений.
Как происходит подписание документа в мобильном приложении
«Нам было важно добиться подписания документов с телефона в одно касание, — говорит Константин Дербуш. — И у нас это получилось. Благодаря технологии PayControl ГОСТ смартфон клиента, по сути, становится USB-токеном, который построен на базе сертифицированных СКЗИ и хранит в себе ключи электронной подписи».
Клиент нажимает «Подписать и отправить» нужный документ, дальше смартфон попросит ввести ПИН-код или использовать Face/Touch ID для доступа к ключам электронной подписи и документ отправляется на обработку. Это намного проще и безопаснее, чем вводить СМС.
Квалифицированная электронная подпись со смартфона
В банках есть отдельная категория документов, которую можно подписать только квалифицированной электронной подписью. Например, трехсторонний кредитный договор или бухгалтерские документы, которые потом отправляются в ФНС России.
В веб-версиях интернет-банка в этих случаях также используется USB-токен, но Альфа-Банк и SafeTech нашли решение и для мобильной версии.
Альфа-Банк использует решение myDSS для работы с квалифицированной электронной подписью. Это совместная разработка компаний КриптоПро и SafeTech, которая позволяет использовать КЭП со смартфона.
«Особенность этого проекта в том, что благодаря специально разработанному мобильному приложению для работы с КЭП клиенту не требуется покидать экосистему банка», — говорит Дарья Верестникова, генеральный директор STCrypt (SafeTech Group).
Использование USB-токена в мобильном банкинге
myDSS также поддерживает работу с ключевыми носителями с NFC и позволяет использовать токен для подписания документов квалифицированной электронной подписью в мобильном приложении банка.
Если смартфон поддерживает технологию NFC, можно просто прислонить токен к телефону и myDSS считает с него информацию. Или можно подключить токен к смартфону с помощью кабеля.
«В данный момент в Альфа-Банке используется технология myDSS. Долгие годы это была самая передовая технология для работы с КЭП со смартфона. Сейчас у нас появилось новое решение, которое выходит на рынок. Это КриптоКлюч. Его особенность — в уникальной распределённой схеме подписи, когда ключи пользователя хранятся на мобильном устройстве в распределённом (между сервером и мобильным приложением) виде. Это обеспечивает максимальную степень защиты», — добавляет Дарья Верестникова.
Результаты внедрения
«Нам удалось добиться главного – подписание документов в мобильном приложении проходит в одно касание, — говорит Александр Ахматаев, начальник управления развития платформенных сервисов юридических лиц в Альфа-Банке, — В дополнение к этому мы фиксируем серьезное снижение количества обращений клиентов, связанных с проблемами при подписании. Это связано с использованием новых более отказоустойчивых технологий».
Увеличилась доля успешных подписаний, а также больше чем в 3 раза выросла скорость подтверждения операций. Кроме того, увеличилось число пользователей мобильного банкинга, а также запущены новые продукты, запуск которых в мобильном приложении без подписания был невозможен.
Интеграция продуктов SafeTech с платформой электронной подписи позволила Альфа-Банку реализовать стратегию цифровизации обслуживания юридических лиц в полном соответствии с требованиями регуляторов, а также упростить работу с документами пользователям мобильного приложения.
