Paycontrol что это

PayControl — программный комплекс, предназначенный для подтверждения пользователем операций в системах дистанционного банковского обслуживания и/или формирования подписи в системах электронного документооборота.

PayControl – решение для электронной подписи в смартфоне, которое позволяет клиентам с высоким уровнем безопасности и удобства подтверждать свои операции, создаваемые в любых цифровых каналах (Интернет-банкинг, мобильный банкинг, операции CNP, телефонный банкинг (Private-bank) и других). Может работать как в виде отдельного приложения для смартфона, так и встраиваться непосредственно в приложение мобильного банкинга.

PayControl предоставляет пользователю возможностьубедиться в корректности данных операции или электронного документа исформировать подпись независимо от используемого устройства. Никакихдополнительных скретч-карт или криптокалькуляторов. Никакой зависимостиот наличия сотовой связи и скорости доставки SMS. ИспользованиеPayControl нисколько не сложнее, чем звонок с мобильного телефона.

ОСНОВНЫЕ ХАРАКТЕРИСТИКИ

PayControl не требуется никаких дополнительных устройств (токенов, генераторов паролей, скретч- карт и других):

транзакция может быть создана в любом цифровом канале, но моментально передается в смартфон клиента;
подтверждение платежа происходит одним движением руки;
никаких задержек и отмены операций, связанных с ожиданием или недоставкой PUSH/SMS-кодов;
оффлайн-режим позволяет клиентам подтверждать операции даже в роуминге или вне зоны покрытия.

PayControl обеспечивает высокий уровень защиты от мошенничества:

защита от несанкционированного доступа даже в случае потери устройства;
перед подтверждением все детали транзакций представляются пользователю на экране его смартфона;
Pay Control не использует SMS и PUSH-коды, которые могут быть перехвачены.

БЕЗОПАСНОСТЬ

Высокий уровень защиты транзакций:

подпись PayControl формируются на основе 4-х составляющих: реквизитов платежа, времени ее создания, ключу пользователя и уникальному «отпечатку» мобильного устройства;
изолированное внутреннее хранилище приложения PayControl защищает от несанкционированного доступа со стороны вредоносного ПО или использования мобильного телефона злоумышленником при утрате устройства.

Безопасность ключей электронной подписи пользователей:

ключи электронной подписи создаются в смартфоне пользователя и хранятся в специальной защищенной области в зашифрованном виде;
для активации мобильного приложения PayControl предусмотрено несколько каналов обмена информацией со смартфоном пользователя.

Безотказность транзакций:

пользователь всегда видит документ, который подписывает, будь то договор, платежное поручение или операция входа в систему;
PayControl использует асимметричные криптографические алгоритмы, поэтому банк не хранит ключи электронной подписи клиентов и технически не может сформировать подпись от его имени клиента.

Paycontrol что это

Платформа мобильной аутентификации и электронной подписи

PayControl — многофункциональная платформа мобильной аутентификации и электронной подписи. При её использовании обеспечивается эффективное противостояние наиболее распространённым атакам на клиентов финансовых организаций («перевыпуск» SIM-карты, фишинг, подмена документа, социальная инженерия и т. д.).

Решение призвано кардинально повысить безопасность цифровых каналов банка по отношению к классическим SMS- и PUSH-кодам. PayControl позволяет «превратить» мобильное устройство в аналог USB-токена с таким же высоким уровнем безопасности и очень простым пользовательским сценарием.

Не требуется никаких дополнительных устройств (токенов, генераторов паролей, скретч-карт и др.)
Подпись формируется на основе 4-х составляющих: реквизиты платежа, время его создания, ключ пользователя и уникальный «отпечаток» мобильного устройства.
Может работать как в виде отдельного приложения для смартфона, так и встраиваться непосредственно в приложение мобильного банкинга.

Назначение PayControl

Подтверждение волеизъявления на совершение банковских транзакций, аутентификация, создание и исполнение документов, факты получения и/или ознакомления с информацией.

Назначение PayControl

Состав PayControl

Серверная часть в ИТ-инфраструктуре банка или сервис-провайдера.
Клиентская часть – приложение для мобильных платформ iOS (11.3 и выше) и Android (5.0 и выше).

Криптографические алгоритмы

Симметричные и асимметричные криптографические алгоритмы.

Сферы применения

Интернет-банкинг и мобильный банкинг.
Системы электронной коммерции и электронного документооборота.

Преимущества PayControl

Электронная подпись PayControl привязана к реквизитам платежа и к смартфону пользователя.
Не зависит от каналов сотовой связи (работает в роуминге, вне зоны покрытия операторов).

Интеграция и функциональность

PayControl может быть интегрирован в приложение мобильного банкинга.
Платформа с модульной архитектурой — функциональность зависит от набора используемых модулей

Безопасность

Инновационные технологии подписи на смартфоне.
Адаптивная аутентификация и подпись транзакций (с антифрод-системами).
Дополнительный биометрический фактор аутентификации (с биометрическими системами).

Удобство

Никаких дополнительных устройств (токенов, генераторов паролей, скретч-карт).
Подтверждение платежа одним движением руки.
Нет задержек и отмены операций, связанных с недоставкой push и SMS.

Проекты

Внедрение в Интернет-банкинг и мобильный бизнес-клиент Банка «Возрождение» технологий электронной подписи финансовых транзакций на мобильном устройстве

Опубликовано 15.08.2019 в 17:05

«Уникальной особенностью проекта внедрения решения PayControl в дистанционные сервисы Банка «Возрождение» стала доскональная проработка всего комплекса технологических, организационных и юридических вопросов. Адаптация инновационных технологий к существующей нормативно-правовой базе: правил использования дистанционного обслуживания, соглашений с клиентами, руководства и инструкций для пользователей, а также внутренних документов, регламентирующих порядок взаимодействия служб и подразделений Банка. При решении этих вопросов компания SafeTech, производитель платформы PayControl, оказывал всю необходимую поддержку, что во многом и определило успешную реализацию проекта.
Наталья Тупикина,
директор департамента по работе с массовым сегментом
Банк «Возрождение»
Официальный пресс-релиз

Внедрение в мобильный банк для юридических лиц «Альфа-Бизнес Мобайл» электронной подписи на мобильных устройствах с возможностью дополнительного подтверждения «отпечатком пальца»

Опубликовано 12.08.2019 в 17:16

«Электронная подпись с подтверждением по отпечатку пальца существенно повышает уровень безопасности платежей в «Альфа-Бизнес Мобайл». Кроме того, это очень удобно. Мы каждый день получаем положительную обратную связь от клиентов. Более 20% пользователей нашего мобильного приложения для юрлиц с первого предложения выбирают подтверждение платежей отпечатком пальца».
Денис Осин,
Руководитель Блока «Малый и средний корпоративный бизнес»
Альфа-Банк
Официальный пресс-релиз

Внедрение в Интернет-банкинг и мобильный банкинг Россельхозбанка для обслуживания физических лиц технологий электронной подписи транзакций на мобильном устройстве

Опубликовано 11.08.2019 в 17:16

«Можно активно развивать систему дистанционного обслуживания, наполнять ее самыми инновационными сервисами, делать ее сколь угодно функциональной и удобной, но, если вы используете устаревшую, неудобную технологию подтверждения операций, это сводит на нет весь эффект от ваших усилий. Россельхозбанк, последовательно развивая свои дистанционные сервисы, обратил особое внимание на систему подтверждения транзакций и подписи документов. При этом, мы стремимся к использованию наиболее инновационных, надежных и экономически выгодных решений, таких как платформа PayControl компании SafeTech».
Александр Серяков,
начальник управления развития дистанционного банковского обслуживания.
АО «Россельхозбанк»

Деятельность осуществляется при грантовой поддержке Фонда «Сколково»

Paycontrol что это

PayControl — электронная подпись в смартфоне, которая позволяет клиентам с высоким уровнем безопасности и удобства подтверждать свои операции, создаваемые в любых цифровых каналах (Интернет-банкинг, мобильный банкинг, операции CNP, телефонный банкинг (Private-bank) и других). PayControl может работать как в виде отдельного приложения для смартфона, так и встраиваться непосредственно в приложение мобильного банкинга.

PayControl предоставляет пользователю возможность убедиться в корректности данных операции или электронного документа и сформировать подпись независимо от используемого устройства. Никаких дополнительных скретч-карт или криптокалькуляторов. Никакой зависимости от наличия сотовой связи и скорости доставки SMS.

Программно-аппаратный комплекс КриптоПро DSS 2.0 предназначен для централизованного выполнения действий пользователей по созданию электронной подписи (ЭП), управления сертификатами и других криптографических операций с использованием ключей, хранимых в ПАКМ КриптоПро HSM (дистанционная («облачная») подпись), локально в мобильном приложении (мобильная подпись) или на рабочем месте пользователя (DSS Lite).

КриптоПро DSS 2.0 предоставляет пользователям интерактивный веб-интерфейс для управления криптографическими ключами и создания ЭП под документами, которые пользователь загружает на КриптоПро DSS. Есть возможность встраивания КриптоПро DSS в в бизнес-системы через обширный REST API. Для работы с УКЭП возможна работа через мобильные приложения myDSS 2.0 и другие созданные на базе myDSS SDK, в режиме мобильной подписи.

Поддерживаемые форматы электронной подписи:

Необработанная электронная подпись ГОСТ Р 34.10-2012;
Усовершенствованная подпись (CAdES-BES, CAdES-T и CAdES-X Long Type 1);
Подпись XML-документов (XMLDSig);
Подпись документов PDF;
Подпись документов Microsoft Office.

Однократная/единая многофакторная аутентификация в ОС, мобильных, десктопных и веб-приложениях организации.

С помощью Avanpost FAM можно организовать универсальную платформу аутентификации, которая обеспечит пользователям единые правила входа во все приложения вне зависимости от технологии их исполнения (как веб-, так и «толстый клиент»). Больше не нужно пытаться совместить различные решения от разных производителей – теперь все приложения начнут работать по единым правилам, управляемым из одного окна.

Avanpost FAM это:

Поддержка всех современных факторов аутентификации, в том числе самых безопасных в виде мобильной подписи PayControl с использованием смарт-карт и токенов Рутокен;
Современный технологический стек и удобство интеграции;
Работа с различными источниками учетных записей;
Кросс-аутентификация сотрудников в доверенных ресурсах партнерских организаций за счет федерации удостоверений;
Личный кабинет пользователя;
Механизм изменения и распространения пароля для унаследованных приложений.

Компания Infognito предлагает комплексное средство контроля и обеспечения безопасности чувствительных данных – платформу Infognito, которая позволяет в автоматизированном режиме:

классифицировать и определить места хранения конфиденциальных данных в промышленных средах (Data Discovery);
обезличить (маскировать) конфиденциальную информацию в непромышленных средах (Data Masking);
создавать усеченную (уменьшенную) копию базы данных.

Система JumbleDB — простое, надёжное и интуитивно-понятное решение для обнаружения, классификации и маскировки данных.

предотвращение утечки конфиденциальных данных и соблюдение нормативных требований;
классификация и определение мест хранения конфиденциальных данных, обезличивание (маскирование) конфиденциальной информации, а также создание усеченной копии базы данных;
обеспечение реальных и значимых альтернативных данных для поддержания непрерывности работы бизнес-приложений и сохранения целостности бизнеса.

Checkmarx — разработчик решений безопасной разработки приложений более 15 лет, занимающийся своим делом. Уже 5-ый год подряд признан лидером в области тестирования приложений по отчету Gartner Magic Quadrant.

Получил награду Fortress Cybersecurity Award в номинации безопасность приложений

Платформа Checkmarx Software Security создана для комплексного подхода к безопасности приложений. Checkmarx делает инфраструктуру безопасности ПО унифицированной с DevOps и легко встраиваемой в CI/CD, от нескомпилированного кода до тестирования во время выполнения.

автоматизация процессов контроля безопасности приложения на всех этапах жизненного цикла;
анализ исходного кода на наличие закладок и уязвимостей, позволяющая выявлять и устранять проблемы безопасности на уровне исходного кода;
анализ компонент с открытым исходным кодом, позволяющий исключить использование уязвимостей безопасности и лицензионных рисков.

S-terra Шлюз — Программно-аппаратный комплекс (программный комплекс на аппаратной платформе) для обеспечения безопасности сети связи любой топологии (VPN), с любым количеством туннелей. Обеспечивает криптографическую защиту и фильтрацию как трафика подсетей, проходящего через него, так и защиту трафика самого шлюза безопасности.

Надежная защита передаваемого трафика
Построение защищенных сетей любой сложности
Легкая интеграция в существующую инфраструктуру
Высокая надежность и производительность
Операционные системы

Oz Liveness — модуль проверки живости (проверка регистрации реального человека в системе) на устройстве позволяет выполнять анализ прямо на устройстве с использованием фотографий или видео. Oz Liveness имеет подтверждение соответствия самому строгому в отрасли стандарту ISO 30107-3 от iBeta Quality Assurance и имеет сертификат 2-ого уровня со 100% точностью обнаружения.

В некоторых случаях внешние условия не позволяют сделать четкое фото или видео лица для дальнейшей биометрической идентификации и проверки на Liveness.

Пользователи могут проходить проверку в различных условиях: на улице, в темноте, в движении, при ярком освещении; SDK автоматически определяет условия съемки (затемнение, размытость, засвечивание) и освещает лицо в случае отсутствия света или рекомендует выбрать более благоприятные условия для съемки.

Доступные SDK: Web, iOS, Android
Детектирование лучшего кадра на уровне сервера
Контроль положения головы
Контроль освещения
Контроль открытости глаз
Среднее время проверки одного действия Liveness с момента поступления входных данных для анализа до получения результатов анализа 3 секунды

Oz Biometry — биометрический модуль распознавания лица с точностью 99,99% с помощью смартфона. Биометрия лица может использоваться как в процессе регистрации, так и в процессе поиска и аутентификации по большим биометрическим базам данных.

Мы предлагаем надежную технологичную платформу биометрической идентификации на основе искусственного интеллекта. Биометрический алгоритм Oz Biometry достиг точности в 99.87% и занял 2-е место в престижном конкурсе университета Массачусетс на датасете Labeled Faces In the Wild, а также протестирован в NIST и на текущий момент является одним из самых точных и быстрых в мире. Модуль проверки живости Oz Liveness получил сертификат соответствия по ISO/IEC 30107-3 по безопасности к биометрическим атакам в сертифицированной при NIST биометрической лаборатории iBeta.

Алгоритмы распознавания лиц от Oz Forensics:

Обнаруживают и выделяют лучший кадр из видео
Сравнивают лицо с фотографии с фотографией лица из удостоверения личности
Позволяют выполнить поиск в биометрической базе данных
Сертификация в независимых конкурсах NIST, LFW
Среднее время проверки Ссмомента поступления входных данных для анализа до получения результатов анализа: до 1 секунды

Решения для противодействия мошенничеству цифровых каналах обслуживания. Интегрированное комплексное решение, разработанное на основе системы проактивного предотвращения банковского мошенничества на устройствах клиента Froud Hunting Platform и платформы мобильной аутентификации и электронной подписи PayControl.

удобная и безопасная для клиентов аутентификация и подпись транзакций на смартфоне;
снижение операционных расходов и нагрузки на антифрод-системы;
адаптивная аутентификация за счет автоматической оценки уровня риска проводимых операций, контроля состояния клиентского устройства, электронной подписи с контролем целостности и авторства.

КриптоПро NGate — это универсальное высокопроизводительное средство криптографической защиты сетевого трафика, объединяющее в себе функциональность:

TLS-сервера доступа к веб-сайтам
Сервера портального доступа
VPN-сервера

NGate обладает широкими возможностями по управлению доступом удалённых пользователей как с обеспечением строгой многофакторной аутентификации, так и прозрачно, обеспечивая при этом гибкое разграничение прав доступа к ресурсам. КриптоПро NGate (далее – NGate) реализует российские криптографические алгоритмы, сертифицирован по требованиям к СКЗИ, имеет сертификаты ФСБ России по классам КС1, КС2 и КС3 и может использоваться для криптографической защиты конфиденциальной информации, в том числе персональных данных, в соответствии с требованиями законодательства Российской Федерации по информационной безопасности.

NGate используется в:

Субъектах критической информационной инфраструктуры;
Государственных и муниципальных органах власти и подведомственным им организациям;
Операторах персональных данных;
Банках и других организациях финансового сектора.

CTRLHACK — это российская платформа симуляции кибератак. CTRLHACK выполняет симуляции различных кибератакующих техник непосредственно в инфраструктуре организации, позволяет построить процесс объективной оценки работы системы киберзащиты и совершенствования правил детектирования кибератакующих техник.

В CTRLHACK включены симуляции для всех стадий проведения кибератак

База знаний хакерских техник постоянно расширяется и обновляется

Модуль «Первичный доступ»

Проверка эффективности блокирования актуальных вредоносных угроз на периметре
Проверка: средств защиты электронной почты, сетевых средств защиты периметра, антивируса на компьютерах и серверах

Включает более 200 техник по всем стадиям атаки в соответствии с матрицей MITRE ATT&CK
Симуляции для операционных систем Windows, Linux, macOS
Проверка: работы средств защиты конечных точек (антивирус, EDR), полноты сбора событий безопасности в SIEM, правил детектирования в SIEM и создание инцидентов в SOC

Использование в корпоративной инфраструктуре

Два варианта установки:
1. полная установка в сети компании
2. сервер управления в облаке CTRLHACK
Для работы нужно установить агенты в сети
1. Простая установка системы
2. Без изменений в инфраструктуре
3. Не требуется отключать средства защиты
4. Открытый API для взаимодействия

Avanpost PKI — это система управления всеми элементами инфраструктуры открытых ключей из единого центра.

Учет и управление жизненным циклом сертификатов;
Учет и управление жизненным циклом лицензий на СКЗИ;
Учет и управление жизненным циклом ключевых носителей;
Сервис самообслуживания пользователей.

Система Avanpost PKI сопровождает полный цикл работы с сертификатами, начиная от создания запроса как администратором так и самим субъектом (пользователем, владельцем ИС), заканчивая выдачей готового для использования сертификата субъекту с поддержанием его в актуальном состоянии в дальнейшем (отслеживание срока действия, изменение данных и статуса субъекта сертификата)

Система Avanpost PKI сопровождает полный цикл работы с СКЗИ, начиная от первичного учета закупленных лицензий СКЗИ, заканчивая возвратом от владельца с фиксацией всех действий, произведенных с СКЗИ. Это позволяет отследить полную историю изменений по любому учтенному в системе СКЗИ и сформировать отчетные документы как по требованиям регуляторов, так и по внутренним требованиям безопасности.

Система Avanpost PKI сопровождает полный цикл работы с ключевыми носителями, начиная от первичного учета закупленных носителей с их возможной инициализацией и заканчивая возвратом от владельца с фиксацией всех действий, произведенных с ключевыми носителями, что позволяет отследить полную историю изменений по любому учтенному в системе ключевому носителю и сформировать отчетные документы как по требованиям регуляторов так и по внутренним требованиям безопасности.

Avanpost PKI предоставляет удобный личный кабинет пользователя, где он может запросить сертификат, оформить заявку на отзыв или перевыпуск сертификата, заказать ключевой носитель или лицензию на СКЗИ. Также данный сервис является единым центром управления всеми объектами пользователя, в том числе ключевыми носителями и сертификатами, и предоставляет соответствующую вспомогательную информацию (например, напоминания об окончании срока действия сертификата), позволяет разблокировать собственный ключевой носитель или получить от него ПИН-код.

Программный комплекс Secure Authentication Server (ПК SAS MFASOFT) для аутентификации на базе одноразовых паролей (OTP), мобильной электронной подписи PayControl и аппаратных аутентификаторов разработан для импортозамещения и применяется в централизованных решениях для защиты доступа к различным устройствам и приложениям.

ПК SAS MFASOFT применяется в централизованных решениях для защиты доступа к различным устройствам и приложениям.

Продукт включен в Единый реестр российских программ для электронных вычислительных машин и баз данных (Запись в реестре от 18.11.2022 №1554).

Получено решение ФСТЭК о проведении сертификации средства защиты информации № 6938 от 11.01.2023.

Многоуровневая мультиарендность Можно создавать отдельные виртуальные серверы для разных подразделений или организаций, и делегировать управление.
Модульная архитектура Продукт состоит из нескольких независимых модулей, которые можно запускать на разных машинах в любом сочетании.
Контейнеризация Компоненты продукта поставляются в виде готовых образов контейнеров Docker, настройки для которых можно хранить отдельно.
Дублирование и масштабирование Любые компоненты решения можно объединять в кластеры (фермы), обеспечивая нужный уровень доступности и производительности.
Аутентификаторы разных типов Поддерживаются аппаратные и программные токены с синхронизацией по времени и по событию.
1. Аппаратные аутентификаторы, соответствующие RFC 4226 (HOTP) и RFC 6238 (TOTP).
2. Программные аутентификаторы (Google аутентификаторы, Microsoft authenticator, Яндекс ключ, Bitix OTP).
3. Система мобильной электронной подписи и подтверждения транзакций PayControl

Возможность отправки одноразового пароля по следующим каналам: SMS, почта, Telegram, голос, сторонние мессенджеры и социальные сети.

PayControl

PayControl – решение для электронной подписи в смартфоне, которое позволяет клиентам подтверждать свои операции, создаваемые в любых цифровых каналах (Интернет-банкинг, мобильный банкинг, операции CNP, телефонный банкинг (Private-bank) и других). Может работать как в виде отдельного приложения для смартфона, так и встраиваться непосредственно в приложение мобильного банкинга.

PayControl предоставляет пользователю возможность убедиться в корректности данных операции или электронного документа и сформировать подпись независимо от используемого устройства. Никаких дополнительных скретч-карт или криптокалькуляторов. Никакой зависимости от наличия сотовой связи и скорости доставки SMS. Использование PayControl нисколько не сложнее, чем звонок с мобильного телефона.

2022

PayControl ГОСТ на базе сертифицированных СКЗИ КриптоПро CSP и JCP

20 декабря 2022 года компания SafeTech сообщила о том, что совместно с компанией КриптоПро расширила возможности флагманского решения PayControl. Теперь решение работает с использованием сертифицированных СКЗИ КриптоПро CSP и JCP, что позволяет реализовать формирование и проверку усиленной неквалифицированной электронной подписи в соответствии с государственными стандартами ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012.

Использование PayControl ГОСТ позволит организациям обеспечить максимальную безопасность своих цифровых каналов и полное соответствие требованиям законодательных органов к подтверждению волеизъявления пользователей. Продукт позволяет решить следующие задачи:

обеспечение максимального уровня [[ Безопасность бесконтактных платежей

.|безопасности]] транзакций для защиты денежных средств клиентов;

обеспечение клиентам возможности быстрого и удобного формирования подписи с использованием мобильного устройства;
минимизация финансовых затрат по сравнению с другими технологиями подтверждения транзакций;
выполнение требований регулятора в части использования неквалифицированной электронной подписи для совершения операций.

Мобильная электронная подпись PayControl ГОСТ создается путем криптографических преобразований подписываемой информации (реквизитов конкретной финансовой транзакции или электронного документа) в сочетании с особенными характеристиками конкретного смартфона.

Подписание и подтверждение операций происходит одним касанием экрана. PayControl ГОСТ позволяет максимально эффективно противостоять наиболее распространенным мошенническим схемам: перехват одноразовых кодов подтверждения в SMS и PUSH, использование зловредного программного обеспечения на компьютерах и мобильных устройствах, социальная инженерия и фишинг.

Решение призвано кардинально повышать безопасность цифровых каналов и развивать безопасное дистанционное банковское обслуживание. PayControl ГОСТ значительно упрощает пользовательский опыт путем трансформирования мобильного устройства в аналог USB-токена с экраном. Решение позволяет подтверждать запрос на совершение банковских транзакций, выполнять процедуру многофакторной аутентификации, создавать и подписывать электронные документы, фиксировать факты получения и/или ознакомления с определённой̆ информацией.

отметила Дарья Верестникова, коммерческий директор SafeTech.
сказал Станислав Смышляев, заместитель генерального директора КриптоПро.

Патент Евразийского патентного ведомства на технологию подтверждения операций пользователей в цифровых каналах

Компания SafeTech, резидент «Сколково», получила патент Евразийского патентного ведомства на технологию подтверждения операций пользователей в цифровых каналах. Она лежит в основе платформы мобильной аутентификации и электронной подписи PayControl. Об этом 12 декабря 2022 года сообщила пресс-служба Фонда «Сколково».

Иллюстарция:mavink.com

SafeTech перенесли электронную подпись в мобильный телефон, создав аналог USB-токена. Мобильная электронная подпись PayControl создается путем криптографических преобразований подписываемой информации (реквизитов конкретной финансовой транзакции или электронного документа) в сочетании с характеристиками конкретного смартфона.

отметил Павел Новиков, директор центра инноваций в финансовом секторе ИТ-кластера Фонда «Сколково».

Компаниям и их клиентам решение PayControl позволяет подтверждать запрос на совершение банковских транзакций, проводить онбординг клиентов и процедуру многофакторной аутентификации, создавать и подписывать электронные документы, фиксировать факты получения или ознакомления с определённой информацией.

сказал Денис Калемберг, генеральный директор и сооснователь SafeTeсh.

Технология SafeTech призвана развивать безопасное дистанционное банковское обслуживание и кардинально повысить безопасность цифровых каналов, будь то мобильные и интернет-банки или другие цифровые каналы, где необходима дополнительная аутентификация. В ней используются алгоритмы, которые защищают любые операции пользователей, противодействуя мошенническим схемам: перехват одноразовых кодов подтверждения в SMS и push-уведомлениях, использование зловредного программного обеспечения на компьютерах и мобильных устройствах, социальная инженерия и фишинг.

2020

Интеграция с Avanpost FAM и Avanpost Web SSO

Продукты компании Аванпост для аутентификации пользователей в корпоративных ресурсах (Avanpost FAM) и внешних приложениях (Avanpost Web SSO) расширили ассортимент доступных факторов аутентификации за счет интеграции с платформой мобильной электронной подписи PayControl. Об этом стало известно 22 декабря 2020 года.

Теперь в Avanpost FAM и Avanpost Web SSO при входе в Windows VPN и Windows RDP наряду с push-уведомлениями в мессенджеры доступно подтверждение аутентификации через мобильное приложение PayControl. Этот метод применим и для других систем (веб, десктопных и RADIUS), подключаемых к Avanpost FAM и Avanpost Web SSO и требующих доставки фактора аутентификации по альтернативному каналу связи. Комплексное решение значительно повышает удобство многофакторной аутентификации для пользователей.

Приложение PayControl доступно для установки из App Store и Google Play на устройства iOS и Android. Решение PayControl готово к размещению в on-premise инфраструктуре, поэтому может быть легко интегрировано в ИТ-ландшафт любой организации.

Интеграция в мобильное приложение «МИнБанк Бизнес-онлайн»

ПАО «Московский Индустриальный банк» (ПАО «МИнБанк») интегрирует технологию PayControl в мобильное приложение системы дистанционного банковского обслуживания (ДБО) для корпоративных клиентов «МИнБанк Бизнес-онлайн». Об этом банк сообщил 30 ноября 2020 года. Подробнее здесь.

Соответствие PayControl v5 ОУД4

27 октября 2020 года года компания SafeTech сообщила, что в отношении Программного комплекса «PayControl» версии v5 получены положительные результаты анализа уязвимостей по требованиям к четвертому оценочному уровню доверия (ОУД 4) в соответствии с требованиями национального стандарта РФ ГОСТ Р ИСО/МЭК 15408-3-2013.

Анализ уязвимостей прикладного программного обеспечения автоматизированных систем и приложений кредитных и некредитных финансовых организаций предусмотрен Положениями Банка России № 382-П, № 683-П и № 684-П. Данный анализ является обязательным и проводится в соответствии с требованиями национального стандарта РФ ГОСТ Р ИСО/МЭК 15408-3-2013.

Прохождение программным комплексом PayControl, предназначенным для подтверждения операций в системах дистанционного банковского обслуживания и подписи электронных документов, необходимой процедуры анализа уязвимостей, позволит партнерам и заказчикам компании SafeTech, внедрившим PayControl, существенно упростить проведение обязательного анализа своих прикладных систем. Теперь отечественные банки и разработчики систем ДБО во время проведения анализа уязвимостей своих разработок получат полный комплект документов, подтверждающих что интегрируемый программный комплекс PayControl уже прошел необходимый анализ, и сократят объемы собственных испытаний. Таким образом, финансовые организации получат при выборе PayControl дополнительные преимущества.

В составе совместного решения Abanking и SafeTech «Безбумажный офис»

Компании Abanking и SafeTech, резиденты Кластера информационных технологий Фонда «Сколково», представили решение — «Безбумажный офис». Об этом 17 июля 2020 года сообщил Фонд «Сколково»В его основе лежат технологии цифровых сервисов от Abanking и программный комплекс для подтверждения пользователем операций в системе дистанционного банковского обслуживания (ДБО) и электронного документооборота от SafeTech. Подробнее здесь.

Модель PayControl Inform

PayControl Inform — модуль решения PayControl, обеспечивающий рассылку PUSH-сообщений клиентам прикладных систем и сервисов с последующим контролем их доставки на мобильные устройства, и, в случае несостоявшейся доставки, дублированием того же сообщения через SMS-шлюз.

В условиях возрастания количества пользователей Интернет-банкинга и числа мобильных платежей финансовые институты и сервис-провайдеры столкнулись с необходимостью оперативного массового информирования своих клиентов с контролем доставки сообщений на мобильные устройства пользователей. Ранее для решения этой задачи использовались SMS-сообщения, но в настоящее время потребовалась более надежная и эффективная альтернатива. С одной стороны, сообщения SMS перестали соответствовать возросшим требованиям по безопасности — средства перехвата и подмены сообщений, доступные злоумышленникам, получили существенное развитие, а с другой — сами протоколы, используемые при отправке SMS-сообщений изначально не были предназначены для передачи конфиденциальной информации и в настоящее время скомпрометированы. Кроме этого, стоимость использования SMS-канала для информирования клиентов при увеличении количества пользователей и мобильных платежей стала для небольших банков и провайдеров услуг достаточно заметной и не всегда доступной.

2019: Интеграция с Group-IB Secure Bank для защиты от финансового мошенничества

9 октября 2019 года компании Group-IB и SafeTech предложили подход к защите финансовых операций в системах дистанционного банковского обслуживания, основанный на оценке риска пользовательской сессии в режиме реального времени. Объединение продуктов компаний SafeTech PayControl и Group-IB Secure Bank обеспечивает адаптивную аутентификацию пользователя, подтверждение транзакций электронной подписью, а также скоринг устройств клиента в целях обнаружения признаков финансового мошенничества и немедленного реагирования на подозрительное событие.

Со слов разработчиков, интегрированное решение обеспечивает всестороннюю и непрерывную защиту физических и юридических лиц, использующих системы дистанционного банковского обслуживания, снижает нагрузку на колл-центр и антифрод-системы банка, а также делает проведение платежных операций удобным для пользователей.

Group-IB Secure Bank проводит скоринг смартфона, планшета или любого другого устройства, с которого пользователь заходит в мобильное банковское приложение или в личный кабинет на сайте банка. В режиме реального времени устройство «сканируется» для выявления на нем признаков социотехнических атак, кросс-канального платежного мошенничества, подозрительного поведения пользователя, попыток кражи, нелегального использования учетных данных, заражения банковскими троянами или наличия веб-инъекций.

В процессе подписания конкретной финансовой транзакции PayControl получает от системы ДБО данные операции, а от Group-IB Secure Bank – результат скоринга, то есть оценку уровня риска сессий создания и подписания операции. На основании этих данных PayControl «принимает решение», какое количество факторов доступа к ключу подписи запросить у пользователя, и только после их ввода подписывает операцию криптографически стойкой электронной подписью, позволяющей гарантировать авторство и неизменность платежного документа.

отметила Дарья Верестникова, коммерческий директор SafeTech

Если финансовая операция вызывает подозрения на уровне сессионного анализа (Secure Bank) или транзакционного анализа (антифрод-система), PayControl обязательно запросит дополнительный фактор для электронной подписи, например, биометрического подтверждения или ввод PIN-кода. Исполнение транзакции будет невозможно, если устройство не прошло скоринг и выявлены явные признаки мошенничества. Эти возможности основаны на автоматической оценке уровня риска пользовательских сессий, контроле состояния клиентского устройства и мобильной электронной подписи, контролирующей целостность и авторство подтверждаемого документа.

Разработчики интегрированного решения делают ставку на простоту внедрения: банк получает готовый инструмент для оценки рисков и электронной подписи конкретных финансовых сессий пользователей. Не менее важным является снижение нагрузки на антифрод-системы за счет отсутствия необходимости сопоставления разрозненных данных о транзакции пользователя из системы ДБО и данных об устройстве пользователя и событиях, связанных с осуществлением платежа. К плюсам адаптивного подтверждения платежей также относится прямое снижение затрат на услуги операторов связи (расходы на SMS), экономию за счет уже реализованной интеграции систем друг с другом, на их техническую поддержку и эксплуатацию.

По данным ФинЦЕРТ Банка России количество попыток банковского мошенничества постоянно растет. Так, в 2018 году регулятор зафиксировал 6151 несанкционированную операцию со счетов юридических лиц на общую сумму 1,469 млрд рублей. При этом, по сравнению с предыдущим годом был отмечен рост числа попыток хищений на 631% (в 7,3 раза). Почти половина хищений (46% в 2018 году) произошли в результате получения злоумышленниками доступа к системам ДБО с использованием вредоносного ПО и приемов социальной инженерии.

2015: Описание PayControl

Система PayControl была разработана с учетом запросов и пожеланий служб информационной безопасности и бизнес подразделений российских банков. PayControl предоставляет пользователю возможность убедиться в корректности данных транзакции и сформировать код подтверждения независимо от используемого компьютера.

По информации на сентябрь 2015 года безопасность решения основана на лучших практиках построения систем подтверждения электронных документов, в сочетании с максимальным удобством использования для клиента Банка.

Никаких дополнительных скретч-карт или криптокалькуляторов. Никакой зависимости от наличия сотовой связи и скорости доставки SMS. Использование PayControl нисколько не сложнее, чем звонок с мобильного телефона.

Мобильное приложение PayControl — это

визуальный контроль подписываемого документа любого формата на отдельном устройстве — мобильном телефоне
генерация кода подтверждения, «привязанного» к реквизитам платежа
независимость от наличия канала сотовой связи
гарантированное уведомление клиента о совершаемой транзакции

Безопасность PayControl

Документ создается и подтверждается на разных устройствах
пользователь видит реквизиты платежа на экране телефона и имеет возможность проконтролировать их корректность
для совершения успешной атаки злоумышленник должен получить доступ и к компьютеру клиента, и к его мобильному телефону
Безопасная передача ключевой информации пользователю
пользователь имеет возможность получить ключевую информацию удаленно, без посещения офиса Банка
для передачи пользователю ключевой информации используется два независимых канала связи
Неотказуемость от совершения операции
транзакция перед подтверждением заверяется квалифицированной электронной подписью Банка
пользователь не только подтверждает реквизиты платежа, но и «расписывается» в получении уведомления о совершаемой операции

Удобство PayControl

никаких дополнительных устройств (токенов, генераторов паролей, скретч-карт и пр.)
автоматизированный ввод данных транзакции (QR-код)
автоматизированный ввод ключевой информации
независимость от каналов сотовой связи (работа в роуминге, вне зоны покрытия операторов и пр.)
интуитивно понятный интерфейс
распространение через привычные магазины приложений (Apple AppStore, Google Play)

Платежные системы и сервисы

Facebook Pay
Apple Pay, Apple Card
Amazon Pay
Samsung Pay, Samsung Card
Alipay
WeChat Pay
PayPal и PayPal_Россия
Android Pay + Google Wallet = Google Pay
Huawei Pay, Huawei Card, Huawei Digital Payment Cloud Solution
Garmin Pay
BitPay Card
Mir Pay
VK Pay
Chase Pay
Binance Pay
TransferGo
Hyundai Pay

SWIFT, SWIFT gpi Instant
Европейская платёжная инициатива (EPI, The European payments initiative)
Project Icebreaker
CIPS — Трансграничная межбанковская платежная система

Visa International, Fold Rewards Card, Visa Secure, 3-D Secure
3-D Secure 2.0 (3D-Secure 3DS) — EMVCo
MasterCard
UnionPay
JCB Платежная система
Western Union

Corda R3 Платежная система на блокчейне
LG CNS: Платежная система с распознаванием лиц
Worldpay
American Express
Payment Card Industry Security Standards Council
BitPay
Square
MoneyGram

Биткоин (Bitcoin) Криптовалюта
Биткоин (Bitcoin) в России
Криптовалюты в России
Криптовалюты на Украине, FacePay24
Криптовалюты в Эстонии
Национальные криптовалюты
Восточноазиатская цифровая валюта
Цифровой юань (DCEP)
Цифровой евро
Цифровой доллар
Цифровая вона Южной Кореи
Цифровой бат Таиланда
Цифровая шведская крона (e-krona)

Facebook Libra криптовалюта
El Petro (криптовалюта)
Эфир (Ether, криптовалюта Ethereum)
Ethereum (криптовалюта)
JPM Coin (криптовалюта)
Gram (криптовалюта)
MUFG Coin (криптовалюта)
Tcoin (криптовалюта)
Venus (криптовалюта)
MobiCoin (криптовалюта)
Stablecoin (криптовалюта)
BitTorrent (криптовалюта)
Wells Fargo Digital Cash (криптовалюта)
Kodakcoin (криптовалюта)
Bitcoen Кошерная криптовалюта
Barca Fan Tokens ($BAR)

Система Быстрых Платежей (СБП)
НСПКМИР, СБПэй
Sberbank Pay, Платежная система Сбербанка, Сбербанк: Система оплаты по улыбке
Uniteller
Tinkoff Pay
Платежная система АО Россельхозбанк
GazpromPay
PosTransfer
United Card Services
SelfieToPay
ISBC Pay Сервис бесконтактной оплаты брелоком
Сервис по передаче финансовых сообщений (СПФС)
ECommPayECommPay: Conversion +
Про100 (платежная система)
Рапида (Rapida)
ChronoPay (Хронопэй)
КиберПлат (CyberPlat)
CloudPayments
Эвотор Пэй (Evotor Pay)
Золотая Корона, KoronaPay
Элекснет
Лидер — система денежных переводов НКО
Деньги.Мэйл.Ру
Yandex Pay
ЮMoney
Webmoney
Ckassa (Центральная касса), Ckassa Start, Ckassa.terminal
RBK Money
Кошелек МТС Деньги, МТС Pay
Qiwi Кошелек — Группа Qiwi
LIfe Pay
MandarinLab, MandarinPay
МультиКарта
Мультисервисная платежная система (МПС)
Кампэй (Comepay) Платежная система
Contact (платежная система)
Magnit Pay
PayMaster (сервис)
Pay.Travel
Blizko платежная система
PayBox.money
Fondy
УПТ: IDpay Денежные переводы
Универсальная электронная карта (УЭК)

Онлайн-обмен данными между торговыми точками и налоговой службой (контрольно-кассовая техника, ККТ, POS-терминалы)
POS-терминалы и другое торговое оборудование (мировой рынок)
Сервисы мобильных платежей
Бесконтактные NFC-платежи, NFC
Безопасность бесконтактных платежей
Основные тренды в сфере защиты банковских платежей
Терминалы оплаты (системы моментальных платежей)
Платежная карта
Карточные платежные системы
Дебетовые карты (рынок России)
Кредитные карты (рынок России)
Эквайринг (процессинг)
Оплата по биометрии

Безналичные платежи в России
Электронные платежные системы в России
Политика ЦБ в сфере защиты информации (кибербезопасности)
Политика ЦБ в сфере развития инноваций и финансовых технологий
ФинЦЕРТ
Денежные переводы (рынок России)

Электронные платежные системы в Азербайджане
Электронные платежные системы в Казахстане
Электронные платежные системы в Узбекистане
Электронные платежные системы на Украине
Электронные платежные системы в Белоруссии
Денежные переводы (мировой рынок)
Денежные переводы (рынок Грузии)

Потери банков от киберпреступности
Информационная безопасность в банках
Мошенничество с банковскими картами
Взлом банкоматов

Paycontrol что это

Paycontrol что это

ОСНОВНЫЕ ХАРАКТЕРИСТИКИ

PayControl не требуется никаких дополнительных устройств (токенов, генераторов паролей, скретч- карт и других):

PayControl обеспечивает высокий уровень защиты от мошенничества:

БЕЗОПАСНОСТЬ

Высокий уровень защиты транзакций:

Безопасность ключей электронной подписи пользователей:

Безотказность транзакций:

Paycontrol что это

Платформа мобильной аутентификации и электронной подписи

Назначение PayControl

Назначение PayControl

Назначение PayControl

Состав PayControl

Состав PayControl

Состав PayControl

Криптографические алгоритмы

Криптографические алгоритмы

Криптографические алгоритмы

Сферы применения

Сферы применения

Сферы применения

Преимущества PayControl

Преимущества PayControl

Преимущества PayControl

Интеграция и функциональность

Интеграция и функциональность

Интеграция и функциональность

Безопасность

Безопасность

Безопасность

Удобство

Удобство

Удобство

Проекты

Внедрение в Интернет-банкинг и мобильный бизнес-клиент Банка «Возрождение» технологий электронной подписи финансовых транзакций на мобильном устройстве

Paycontrol что это

PayControl

2022

PayControl ГОСТ на базе сертифицированных СКЗИ КриптоПро CSP и JCP

Патент Евразийского патентного ведомства на технологию подтверждения операций пользователей в цифровых каналах

2020

Интеграция с Avanpost FAM и Avanpost Web SSO

Интеграция в мобильное приложение «МИнБанк Бизнес-онлайн»

Соответствие PayControl v5 ОУД4

В составе совместного решения Abanking и SafeTech «Безбумажный офис»

Модель PayControl Inform

2019: Интеграция с Group-IB Secure Bank для защиты от финансового мошенничества

2015: Описание PayControl

Платежные системы и сервисы

Добавить комментарий Отменить ответ