О том, как максимально обезопасить пользователей и научить денежные организации не опасаться открытых данных баланса по картам, для портала Банкир.Ру написал CEO сервиса Krawlly Александр Неймарк.
Мы создали первую платформу по агрегации денежных данных клиентов в 2013 году, в то время, когда российский рынок был к этому совсем не готов. Первый вопрос, что нам задавали: из-за чего вы думаете, что клиенты начнут отдавать вам пароли и логины от банков? Мы доказали умелым методом, что эта разработка трудится, что она пользуется спросом рынком и клиентами.
Первый вопрос, что нам задавали: из-за чего вы думаете, что клиенты начнут отдавать вам пароли и логины от банков?
Сейчас мы имеем два сервера и два маркетплейса, каковые в виде white label предлагаем рынку:
1. Сервер и маркетплейс «Балансы»
Это готовое ответ для банков, больших интернет-площадок, сотовых операторов, электронных кошельков и других игроков рынка.
Бизнес-модель: b2b2c. Мы предоставляем готовый маркетплейс, брендированый под партнера. Витрина может содержать отечественную авторизацию либо возможно встроена в авторизационную сессию партнера. Клиенты начинают пользоваться ответом безвозмездно. Через некое время мы предоставляем последовательность платных функций и получаем вместе с партнером.
До 80% выручки уходит партнеру. Помимо этого, партнер (к примеру, банк) может собирать с отечественной помощью клиентские эти и с разрешения клиента предлагать ему контекстные сервисы и финансовые продукты.
Возможности для клиента: контроль балансов в реальном времени, возможность оплаты в адрес провайдера банковской картой либо кошельком, наряду с этим мы сами заполняем всеми реквизитами форму на стороне партнера и клиенту достаточно на кнопку «Оплатить», сервер присылает умные уведомления, в то время, когда баланс провайдера достигает критического значения. Помимо этого, мы написали модули, каковые сами за клиента но под его контролем входят в индивидуальные кабинеты сотовых операторов и сами приобретают пароль от входа в кабинет, избавляя клиента от лишней рутины.
В маркетплейса мы показываем совокупности счетчиков-балансов, каковые обновляются в реальном времени, графики трансформаций баланса, и последовательность настроек. В ближайших релизах мы дадим клиентам возможность изменять настройки личного кабинета прямо на отечественном маркетплейсе, кроме этого покажется много других инновационных функций.
2. Сервер и маркетплейс «Экспорт данных»
Мы предоставляем микрофинансовым организациям (МФО) сервис для выгрузки информации о клиентах из банковских аккаунтов, аккаунтов сотовых операторов и электронных кошельков. На протяжении заполнения заявки на получение онлайн-займа клиент МФО может воспользоваться отечественной формой идентификации:
За первые три секунды мы приобретаем персональные эти, и МФО может сравнить их с указанными в форме на выдачу займа. Потом за 10–15 секунд мы приобретаем информацию о транзакциях, кредитах, депозитах, возрасте аккаунта, минимальных и больших платежах за период, шаблонах платежей, довольно часто применяемых номерах телефонов, на каковые звонит клиент, и множество второй нужной для скоринга и антифрода информации.
Все данные нами запрашивается один раз, мы не храним эти сведенья у себя, а сразу же передаем партнеру и строго при получении согласия клиента на обработку и получение данной информации.
Помимо этого, информация предоставляется нами не в разрозненном и сыром виде, а в виде агрегатов, другими словами в обработанном для загрузки в скоринг МФО формате.
Бизнес-модель: b2b. МФО платят за запросы, каковые мы обрабатываем и доставленную в их CRM данные.
3. Сервис автоматического списания денежных средств
Мы прекрасно понимаем проблему, в то время, когда выданный заем либо кредит необходимо скоро и комфортно вернуть. И мы создали инновационный сервис, что по поручению пользователя сам списывает деньги с банковского счета либо со счета электронного кошелька.
Само собой разумеется, для списания денежных средств существует инструмент хорошего рекарринга (списания денежных средств с банковской карты). Но у него имеется два значительных ограничения:
- Финансовые средства возможно списать лишь полностью.
- В случае если процессинг списания стучится в процессинг банка-эмитента пара раз, а на карточном счете не достаточно, к примеру 1 руб., процессинг эмитента по окончании нескольких отказов может заблокировать карту с подозрением на фрод.
Отечественный скрипт формирует по поручению клиента шаблон платежа в интернет-банка с уже прописанными реквизитами МФО, выдавшей заем
Мы предлагаем эргономичный и эластичный сервис. Отечественный скрипт формирует по поручению клиента шаблон платежа в интернет-банка с уже прописанными реквизитами МФО выдавшей заем. В шаблон платежа мы прописываем минимальную сумму, к примеру 1 руб., и даем клиенту возможность подписать шаблон посредством SMS.
В будущем таковой шаблон считается верифицированным банком, и мы можем списать с него деньги безакцептно по команде от МФО. Мы смотрим за балансами данного счета, и в случае если в том месте имеется деньги (кроме того один рубль), мы можем списать его по поручению партнера, выдавшего заем. Так, мы можем насобирать нужную сумму либо ее часть из различных источников, что значительно упрощает возврат долга.
К примеру, клиент обязан 10 тыс. руб., а в «Яндекс-кошельке» у него 700 руб. Ему и в голову не имеет возможности прийти, что этими деньгами возможно расплатиться (сумма-то не вся). Помимо этого, как ему вывести эту сумму и зачислить на счет МФО? Мы решаем все эти неприятности. Стоит клиенту привязать «Яндекс-кошелек», как наш скрипт и платёжное средство сам спишет нужную сумму либо ее часть.
Наряду с этим юридически в назначении платежа написано основание для списания, к примеру «Соглашение займа», другими словами клиент постоянно видит, куда уходят деньги, в каком количестве и на каком основании, другими словами платежи осуществляются на 100% под контролем клиента.
4. Надёжные разработки
У нас имеется две модели хранения информации: облачная и локальная. В облачной модели вы, как партнер, используете наш сервер, мы его всецело поддерживаем, несём ответственность за его работу, за сохранность информации на нем и за верную передачу информации вам. Информация хранится в зашифрованном виде.
Эти запрещено будет расшифровать, даже в том случае, если похитить всецело образ сервера
Надежное хранение организовано следующим образом. Все учетные эти сохраняются в зашифрованном виде с применением шифрования AES256. Ключ также зашифрован посредством метода RSA, наряду с этим расшифровка этого ключа производится аппаратно, ключ для расшифровки нереально извлечь. Так, эти запрещено будет расшифровать, даже в том случае, если похитить всецело образ сервера.
Похитить пароли и логины возможно, лишь взяв тотальный контроль над трудящимся сервером, зная, как он устроен, и имея исходный код для подмены модулей. Возможность сделать это неавторизованно очень маловероятна. Итак, похитить пароль и логин с сервера фактически нереально.
Более того, его нереально похитить и с вашего устройства, в отличие от тех случаев, в то время, когда эти сведенья сохраняются на устройстве.
Представьте, что вы утратили телефон. Тогда хакер, имея полный доступ к вашему телефону, может взять все ваши пароли и расшифровать. А при хранения данных на сервере пароли на сторону клиента (телефон) по большому счету ни при каких обстоятельствах не передаются. Определить пароли, имея полный доступ к телефону с аккаунтом на сервере, нереально.
Так, сервер имеет важную защиту, а похитить эти с телефона в принципе нереально. Но все же представим, что каким-то образом у вас данный логин-пароль похитили, а также представим, что похитили логин-пароль от интернет-банка. Что может сделать преступник? А ничего, не считая как взглянуть ваш баланс. По причине того, что для любой активной операции, к примеру для вывода денег, ему нужно взять код подтверждения, к примеру SMS от банка на ваш телефон.
И тут особенно принципиально важно раздельное хранение паролей и SMS. В случае если пароли сохраняются на вашем устройстве, и вы теряете телефон, то в руки преступника попадут и пароли, и SMS, что значительно более страшно. А при сервера это не верно.
Вывод: мы вправду заботимся о безопасности, учли все моменты, и в некоторых качествах такая схема кроме того более надёжна, чем хранение паролей и ключей на вашем устройстве.
Сейчас разглядим вторую схему — локальное хранение: вы имеете возможность организовать собственный сервер, поддерживать его и хранить пароли в том месте. Мы на нем разворачиваем собственный ПО, и вы имеете возможность быть всецело уверены, что пароли пользователей дальше вашего сервера не уйдут. По поводу доверия — у нас имеется умело проверенная модель, что пользователи в высокой степени доверяют банку пароли от вторых банков.
Банк изначально воспринимается как надёжности и территория доверия, и исходя из этого пользователи без неприятностей доверят пароли банку. Вы станете их шифровать и хранить и сможете обеспечивать, что пароли дальше вас не ушли. Это будет ваша локальная база, и мы к ней не притронемся.
Сейчас возвратимся на 60 секунд к облачной модели. Со своей стороны и мы не притронемся к паролям и логинам пользователей, по причине того, что целый данный сервис выстроен на репутации. Попытайся мы на рынок реализовать базу, это сходу станет известно, и банки не будут с нами трудиться. Для чего нам это? Исходя из этого мы сами не используем пароли ваших клиентов без разрешения клиентов и вашего разрешения. Они необходимы лишь дабы «добыть» баланс и отобразить баланс в вашем интерфейсе мобильного либо интернет-банка.
Плюсы облака: вам не требуется заморачиваться с ресурсами по помощи серверов. Минусы: вы имеете возможность беспокоиться, что пароли у нас. Плюсы локального хранения — все у нас и ваша душа спокойна. Минусы — важные затраты денег, ресурсов и программных, и человеческих, дабы хранить пароли у себя. Облачная модель — это вопрос доверия к нам. Мы оставляем за партнером право решать, как хранить пароли.
Более того, кое-какие партнеры хранят их у нас, дабы при каких-либо претензий мы, а не они отвечали за хранение паролей. Как мы трудимся с накопленной информацией? Она вся в собственности партнеру.
Представим, что у вас данный логин-пароль все-таки похитили. Что может сделать преступник? В действительности ничего, не считая как взглянуть ваш баланс
Какие конкретно гарантии защиты информации? Мы аппаратно шифруем базу, это указывает, что кража паролей равнозначна краже сервера, а это уже не хакерская атака, а разбойное наступление.
Другими словами транзакции на 100% защищены дополнительно и никто, без разрешения клиента не прикоснётся его деньги.
3 минуты, которые заставят переосмыслить всю вашу жизнь
Интересные записи
- Итоги акции: ответы банка россии-2012
- «Програмбанк»: «если банк поможет своим клиентам стать более доходными, то и они ответят ему тем же».
- Михаил мамута: «взимание просроченной задолженности должно регламентироваться жесткими стандартами»
Похожие статьи, которые вам, наверника будут интересны:
-
Как брать в долг на мтс: что делать, если баланс ноль, а позвонить очень нужно?
Бывают обстановке, в то время, когда деньги на балансе телефона подошли к концу, а вам необходимо безотлагательно позвонить к себе или приятелю….
-
Как пополнить баланс, счёт мтс без комиссии? где это можно сделать?
Вариантов пополнения счета МТС без рабочей группы — очень много! Во-первых, это возможно сделать в салоне связи. Причем, для этого совсем не обязательно…
-
Аутсорсинг или собственные силы: баланс здравого смысла
Практически любой IT-проект в банке в той либо другой степени возможно назвать интеграционным. // Андрей Фомичев. Банковское обозрение, №4, апрель 2008…
-
Проверка баланса карты visa с помощью интернета
Проверка баланса карты VISA посредством Интернета Довольно часто при применении карточки VISA для расчетов в глобальной сети у граждан РФ появляется…
-
Как взять в долг на теле2 для пополнения баланса
Любой пользователь сотовой связи может нежданно столкнуться с таковой обстановкой, в то время, когда на телефоне финансовые средства закончились, но…
-
Для всех думается очевидным, что банк предоставляет собственные услуги пакетом: депозиты, платежные карты, кредиты — все связано между собой так, дабы…