Feeasy: «наша задача — сделать любую хакерскую атаку на сервис нерентабельной»

- kbrbank

Два раза участвовавшая в акселерационной программе Альфа-Банка команда финтехпроекта Feeasy создала совокупность надёжного хранения банковских данных, которую невыгодно взламывать. О протестированных догадках и о том, как сервис может понадобиться и банкам, и свободным живописцам, «Банкиру.ру» поведали основатели сервиса Александр Власов, Станислав Сергеев.

Наименование продукта: Feeasy (feeasy.me safe data operations)

Описание: совокупность обработки и безопасного хранения данных, сервис необязательных платежей на ее базе

Юрлицо: ООО «Дилайт Софт»

Год создания: 2014

Основатели: Александр Власов, Станислав Сергеев

Команда: 5 человек

Оборот компании: не раскрывается

Число клиентов: не раскрывается

Стадия: действующий сервис

Дата выхода на рынок: июль 2015

История инвестиций: существует на средства основателей

Университеты развития: участник акселерационной программы Alpha не сильный в 2014 и 2015 годах, резидент кластера FutureFintech. Сотрудничает с HSE Incubator (НИУ ВШЭ), ФРИИ, NUMA

Контакты:

Сайт: https://feeasy.me/

Facebook: https://www.facebook.com/feeasyme/?fref=ts

Email: pekaoka@gmail.com

Телефон: +79254468348

Какие конкретно задачи решает продукт?

— Feeasy снабжает надёжное хранение информации, при котором массово раскрыть хранящиеся на сервере эти нереально. на данный момент отечественная разработка реализована в виде совокупности финансовых переводов между физическими лицами и подключена к API Альфа-Банка. Она разрешает проводить платежи между банковскими картами физических лиц, не показывая номера карты.

Вместо этого употребляется гиперссылка либо ее графическая интерпретация в виде QR-кода, что не несет в себе ничего, не считая внутреннего идентификатора совокупности — разновидности токена, постоянного либо временного идентификатора.

Кто есть целевой аудиторией?

— Отечественная целевая аудитория в широком смысле — это компании, каковые хранят клиентскую данные у себя, и наряду с этим сами не разрабатывают совокупности обработки и безопасного хранения данных. Это относится, национальных организаций, массовых сервисов, банков, вебмагазинов, мобильных приложений. И а также сервисов, каковые снабжают финансовые переводы между физическими лицами и заинтересованы в их безопасности.

Feeasy — это сервис обработки и безопасного хранения клиентских данных, а также данных банковских ключей и карт цифровых автографов. Создатели обещают, что массовой утечки информации с серверов не случится, а единственный источник риска — поведение самих клиентов. До тех пор пока Feeasy реализовало разработку для банковских карт и хранения физических лиц и трудится в формате сервиса для денежных переводов и сбора пожертвования между физическими лицами.

За время акселерационной программы Alpha Camp мы создали сервис, что позволяет пользователям переводить деньги и приобретать платежи, не демонстрируя банковские реквизиты. Вместо этого для каждого номера банковской карты совокупность генерирует гиперссылку либо неповторимый QR-код. Для каждой карты таких кодов возможно любое количество. Ожидая перевода на карту (гонорараров, к примеру), получатель платежей может создать на странице генерации отдельные коды для каждого из отправителей.

Принципиально важно, что такие коды не содержат никакой персональной либо банковской информации и имеют значение лишь для совокупности хранения данных.

QR-коды не содержат никакой персональной либо банковской информации.

Чем таковой сервис может понадобиться физическим лицам? Feeasy возможно применять для сбора средств, (к примеру, на благотворительность), чаевых в кафе и ресторанах, для перевода платов фрилансерам. Принцип работы сервиса возможно обрисовать как «пассивную картину-попрошайку».

Мы сотрудничаем с несколькими стартапами, с которыми познакомились на Alpha Camp в 2014 и 2015 году. Отечественное API значительно ускоряет и упрощает процесс подключения функционала переводов между картами для них. Реши они делать это напрямую через банк — потребовалось бы намного больше времени. Большая часть вопросов по согласованию нами было решено еще до стадии подписания соглашения с банком, а нюансы подключения API мы решаем в рабочем порядке, без волокиты.

Одним из отечественных партнеров — это агрегатор объявлений для посуточной аренды недвижимости RealtyCalendar.

Feeasy: «наша задача — сделать любую хакерскую атаку на сервис нерентабельной» Обрисуйте разработку, лежащую в базе.

— Отправитель платежа считывает код посредством приложения для iOS либо Android, которое машинально подтягивает данные в интерфейс банка. Так, плательщик не видит реквизиты получателя и не тратит время на их ввод. Ему остаётся лишь ввести реквизиты собственной банковской карты. После этого он выбирает сумму и в случае если желает, оставляет сообщение получателю.

На последней стадии он в обязательном порядке подтверждает собственный платеж одноразовым паролем через SMS-сообщение, которое отправляет ему банк. Эта услуга отличается от предлагаемой многими банками услуги перевода с карты на карту, в первую очередь тем, что получателю платежа не требуется делать весьма необычные и страшные вещи — такие как публичное размещение реквизитов. Второе отличие, что отправителю не требуется вводить вручную эти банковских карт получателя.

На данный момент Feeasy существует как действующая совокупность надёжного хранения данных PAN банковских карт физических лиц и делает функцию платежного шлюза электронных переводов между физическими лицами для компаний, предоставляющих сервис p2p-переводов (peer-to-peer). Мы создали программную платформу, которая разрешает исключить возможность масштабной утечки данных с центральных серверов. Вероятны лишь единичные случаи утечки — да и то со стороны пользователя и при условии, что он сам халатно относится к хранению информации.

В вечной борьбе «защита-взлом» либо «меч и щит» побеждает тот, кто делает атаку не удачной

Реализовано это в общем так: на серверах хранится приблизительно добрая половина данных в неизвестных идентификаторах. Дабы определить номер карточки сперва нужно «вытащить» код у получателя платежа, расшифровать его и лишь тогда свести эти, определив отечественный формат. В случае если преступник примет решение по коду совершить хоть какую-то атаку на конкретную банковскую карту, то единственный вариант — это слить всю базу и лишь позже вылавливать коды у конкретных людей.

Конечно, что трудоемкость, покрытие и стоимость рисков таковой атаки будут выше, чем вероятная польза от кражи средств. В вечной борьбе «защита-взлом» либо «меч и щит» побеждает тот, кто делает атаку не удачной.

В случае если нарушены требования стандарта PCI DSS, то все сведенья карты «утекают». В случае если преступники попадают отечественную совокупность, то всех данных конечного обладателя преступник все равно не возьмёт, легко по причине того, что мы сами ими не владеем. На серверах в поделённом виде сохраняются идентификаторы, каковые еще необходимо сводить.

А сделать это без активного участия каждого пользователя нереально.

Как эта разработка возможно использована денежными организациями?

Разработка Feeasy может использована банками для:

  1. увеличения безопасности хранения данных и удорожания цены атаки, делая ее нерентабельной.
  2. смещения территорий ответственности за раскрытие данных: эти на серверах не смогут быть вскрыты без халатного участия личного пользователя.
  3. стремительного развертывания процессов сотрудничества со сервисами и стартапами, каковые трудятся в области p2p-переводов: чем больше людей будет пользоваться электронными платежами, тем больше будут остатки на депозитах для совершения таких операций. А это одна из самых желанных целей любой кредитной организации.
  4. создания платежного шлюза электронных переводов между физическими лицами.
  5. увеличения транзакционной активности через дополнительные интерфейсы, соединяющие офлайн и онлайн-сценарии коммуникации с клиентом

Со временем мы желали бы воображать таковой сервис, дабы банкам для его применения не было нужно модифицировать собственный процессинг, совокупности фрод-мониторинга. Да и для надзорных органов электронные платежи — это неизменно более прозрачно, чем наличные расчеты. Но пока, в Российской Федерации через чур мелкий рынок электронных платежей, и, как следствие, выгодоприобретатели до тех пор пока еще не показались.

В первой акселерационной программе Alpha Lab мы учавствовали с другим проектом, что именовался Molotoken. Мы удостоверились в надежности пара догадок по монетизации сервиса облачной токенизации, для операций в которых банковские карты физически не представлены. Такая разработка занимает собственный естественное место в совокупности Host Card Emulation и поддерживает разработку бесконтактных платежей на базе NFC.

С какими проблемами вы столкнулись?

  1. отсутствие достаточного количества операций электронных переводов между физлицами;
  2. исторически ситуация : банки скорее делают функции, каковые им делегирует регулятор, чем ориентируются на рынок;
  3. структура денежного рынка: он через чур дефрагментирован и складывается из 2-3 сильных игроков, все остальные очень сильно отстают, как по размеру, так и в технологическом отношении;
  4. массовый cash out, увод физическими лицами собственных вкладов в наличные, понижение остатков на депозитах и электронного финансового оборота.

Мне думается, в Российской Федерации не достаточно промежуточной части экосистемы между банками и интернациональными платежными совокупностями, которая бы обслуживала их сотрудничество. Помимо этого, законодательная база требует обработки всех данных на территории страны. К примеру, в Америке, Европе, Австралии Visa предлагает банкам собственный личный сервис, дабы банки имели возможность модифицировать собственный процессинг, что для них в любом случае — источник значительных затрат.

Вместо этого им предлагают применять кое-какие существующие мощности компании Visa. В Российской Федерации собственная специфика: довольно много примеров «самопального» процессинга, и это затрудняет принятие таких ответов.

Какие конкретно проекты, решающие похожие либо смежные задачи, вы понимаете?

— В некоей степени похожие на отечественные задачи решает программа-клиент совокупности авторизации E-num, предназначенная для генерации неповторимых кодов доступа к сервисам и программам WebMoney. Переводы с карты на карту через совокупности типа «кошелек» реализовывают PayPAL, YandexMoney, QIWI. Еще один пример — сервис Qlipe от Cloudpayments, что специализируется на процессинге, а QR-коды применяет лишь, в то время, когда получатель платежа — юрлицо.

Те же задачи, что и мы, решают платежные сервисы, созданные самими банками. Лишь мы разрешаем дополнить их совокупность новыми возможностями повысить остаток средств и транзакционную активность на депозитах.

Отечественная цель на данный момент — показать надёжный метод хранения данных и в один момент — способности команды, дабы войти на обработки и рынок хранения данных в регионах, где хранение данных не есть специализацией организаций, но играется значительную роль.

Какова предусмотренная модель монетизации вашего проекта?

  1. платное подключение сервисов, каковые снабжают в рамках собственных одолжений переводы между физическими лицами.
  2. согласно соглашению с банком мы кроме этого приобретаем комиссионное вознаграждение с суммы перевода
  3. платная разработка отдельных совокупностей на базе разработки хранения данных для компаний и организаций связанных с их хранением, но не специализирующихся на безопасности.

Как вы строите отношения с инвесторами?

— Перед тем, как мы выйдем на уровень стабильной экономики и устойчивого спроса проекта, мы оставила идею привлечения инвестиций. В то время, когда мы достигнем намеченных показателей, то будем завлекать инвестора для масштабирования на условиях вложения в прибыль, а не в команду. При необходимости мы можем сократить либо дополнить команду, и как сооснователи сервиса готовы на замену собственных функций экспертами на этапе роста компании, в случае если появятся новые требования к компетенциям.

Лекция 2 | Технологии хранения и обработки больших объёмов данных | Дмитрий Барашев

Интересные записи

Похожие статьи, которые вам, наверника будут интересны: