P ř ednáška v kurzu KBaA2 ZS 2009 Elektronické bankovnictví
Definice Elektronické bankovnictví = poskytování standardizovaných bankovních produkt ů a služeb klientele prost ř ednictvím elektronických cest (S.Polou č ek) Basilejský výbor pro bankovní dohled definuje pojem elektronické bankovnictví jako poskytování bankovních produkt ů a služeb malých hodnot klientele prost ř ednictvím elektronických cest. Tyto produkty a služby mohou zahrnovat p ř ijímání depozit, p ů j č ování, vedení ú č t ů, finan č ní poradenství, elektronické proplácení ú č t ů a poskytování dalších elektronických platebních produkt ů a služeb, jako jsou elektronické peníze
Formy elektronického bankovnictví tj. formy vzdáleného p ř ístupu: (1) Platební karty (2) Homebanking (3) Phonebanking (callbanking) (4) GSM banking (5) Internetbanking (P.Dvo ř ák)
Komunikační prostředky Fyzické p ř edávání dat ……………………….. PC Telefonní sí ť ………………………tel.p ř ístroj/PC Internet …………………………………………….. PC Komutované linky ……………………………… PC Datové sít ě ………………………………………… PC Sí ť GSM…………………………………….GSM mobil Datové sít ě ………………….samoobslužná zóna
Platební produkty (podle zákona o platebním styku) Dv ě varianty: (a) prost ř edek vzdáleného p ř ístupu k pen ě žní hodnot ě, (b) elektronický pen ě žní prost ř edek. Elektronické peníze = pen ě žní hodnota uchovávaná na elektronickém pen ě žním prost ř edku
Elektronický peněžní prostředek (podle zákona o platebním styku - § 15) = „platební prost ř edek, který uchovává pen ě žní hodnotu v elektronické podob ě a který je p ř ijímán jako platební prost ř edek i jinými osobami než jeho vydavatelem.“ Rozdíl v právní úprav ě v Č R a EU (doporu č ení Komise ES č.97/489/ES; Sm ě rnice 2000/46/ES) Podle ES: pouze karty a po č íta č ová pam ěť
Způsoby uložení elektronických peněz (1) na samostatném nosi č i (karta, minikarta, klí č enka) (2) v pam ě ti po č íta č e
Emitenti elektronických peněz = pouze licencované instituce Banky Pobo č ky zahrani č ních bank Osoby oprávn ě né podle jednotné bankovní licence Jiné osoby se souhlasem Č NB
Klasifikace elektronických peněžních prostředků KritériumFormael. peněz Uložení el.peněz Založené na SW Založené na kartě Identifikace uživatele identifikovatel né Anonymní Komunikace s uživatelem Off-lineOn-line
Internet a jeho úloha v elektronickém bankovnictví Základy Internetu vznikly v 80.tých letech 20.století Základní č lánky Internetu: 1. sí ť 2. server 3. klient
Z historie První prohlíže č e:Netscape Navigator, po n ě m Microsoft Internet Explorer Vývoj HTML Vyhledávací služby: Yahoo, Alta Vista aj.
Problémy s využitím Internetu pro banky Vysoká citlivost bankovních informací Po č íta č ové sít ě jsou „d ě ravé“ Jsou vystaveny útok ů m hacker ů
Velká výhoda Internetu = JE LEVNÝ
Podrobnější charakteristiky elektronického bankovnictví Jiné definice : „neosobní elektronická forma komunikace mezi bankami a jejich klienty“ „alternativní distribu č ní kanál poskytování bankovních služeb“
Nejčastější operace v ČR Informace o stavu ú č tu Tuzemský platební p ř íkaz
Bezpečnost elektronického bankovnictví Problematika zabezpe č ení: 1. ov ěř ení identity banky 2. šifrování dat 3. bezpe č nost prohlíže č e
1. ověření identity Protokol SSL Prokázání identity banky certifikátem SSL Ov ěř ení identity klienta Digitální (elektronický podpis) a jeho význam Úloha klí čů Soukromý klí č (úloha PINu) Ve ř ejný klí č Poskytovatel certifika č ních služeb
Úloha elektronického podpisu Význam elektronického podpisu pro bezpe č nost bankovních operací Co zajiš ť uje elektronický podpis: 1. Autenticita 2. integrita 3. č asová souslednost
Zákonná úprava digitálního podpisu V Č eské republice (a dalších zemích EU) platí již n ě kolik let zákony, podle kterých je za jistých podmínek možno elektronický podpis nebo n ě které druhy elektronických podpis ů používat místo klasického. Tuto oblast v sou č asné dob ě pokrývá Zákon č. 227/2000 Sb., o elektronickém podpisu, v platném zn ě ní (novelizován zákony č. 226/2002 Sb., 517/2002 Sb., 440/2004 Sb., 635/2004 Sb., 501/2004 Sb., 444/2005 Sb.).
Smysl zákona Smyslem zákona o elektronickém podpisu je zavedení legislativního po ř ádku do oblasti používání elektronického podpisu. Je zde up ř esn ě na používaná terminologie a definovány p ř íslušné pojmy tak, aby byl odlišen stupe ň d ů v ě ryhodnosti a bezpe č nosti jednotlivých elektronických podpis ů. Zaru č ený elektronický podpis se stále více mimo jiné také uplat ň uje ve státní sfé ř e, i p ř es obtíže ú ř ad ů p ř izp ů sobit se novým technologiím a navzdory nutnosti za kvalifikované certifikáty každoro č n ě platit.
Kvalifikovaný certifikát Kvalifikovaný certifikát musí obsahovat a) ozna č ení, že je vydán jako kvalifikovaný certifikát podle tohoto zákona, b) obchodní jméno poskytovatele certifika č ních služeb a jeho sídlo, jakož i údaj, že certifikát byl vydán v Č eské republice, c) jméno a p ř íjmení podepisující osoby nebo její pseudonym s p ř íslušným ozna č ením, že se jedná o pseudonym, d) zvláštní znaky podepisující osoby, vyžaduje-li to ú č el kvalifikovaného certifikátu, e) data pro ov ěř ování podpisu, která odpovídají dat ů m pro vytvá ř ení podpisu, jež jsou pod kontrolou podepisující osoby, f) zaru č ený elektronický podpis poskytovatele certifika č ních služeb, který kvalifikovaný certifikát vydává, g) č íslo kvalifikovaného certifikátu unikátní u daného poskytovatele certifika č ních služeb, h) po č átek a konec platnosti kvalifikovaného certifikátu, i) p ř ípadn ě údaje o tom, zda se používání kvalifikovaného certifikátu omezuje podle povahy a rozsahu jen pro ur č ité použití, j) p ř ípadn ě omezení hodnot transakcí, pro n ě ž lze kvalifikovaný certifikát použít.
2. šifrování dat Pro č je nutno šifrovat? Šifrovací algoritmy
3. bezpečnost Významnou úlohu pro využívání elektronického bankovnictví je zajišt ě ní bezpe č nosti veškerých bankovních operací jak pro banku, tak pro klienta
Certifikáty a certifikační autority Proto, aby se stal elektronický podpis d ů v ě ryhodný, musí podepisující osoba v n ě kterých p ř ípadech používat elektronický podpis založený na certifikátu. Elektronický podpis je v takovém p ř ípad ě pro každou podepsanou zprávu jiný a odvozuje se od této zprávy. Práv ě takovýto podpis se nazývá zaru č eným elektronickým podpisem.
(pokračování) Certifikát lze získat od poskytovatele certifika č ních služeb (certifika č ní autority). Pro získání certifikátu u n ě které certifika č ní autority sta č í pouze platná adresa elektronické pošty (jiná ov ěř uje totožnost pouhým vizuálním srovnáním fyzické podoby žadatele s oficiální fotografií v dokladech v kancelá ř i certifika č ní autority).
(pokračování) Certifika č ní autorita plní dv ě základní funkce: certifika č ní - zaru č ující, že deklarovaný ve ř ejný klí č p ř ísluší dané osob ě, valida č ní - potvrzující platnost certifikátu
(pokračování – technická infrastruktura) ) Ve ř ejný klí č Privátní klí č Certifikát Revokovaný cetifikát Revoka č ní list CRL PKCS10 – formát žádosti
Informace požadované pro ověření totožnosti klienta Stát; m ě sto/obec; ulice/místo, č íslo popisné, PS Č ; p ř íjmení klienta; k ř estní jméno klienta (p ř íp. iniciály dalších jmen); rok, m ě síc a den narození; kontaktní adresa klienta; kontaktní telefonní č íslo; telefonní č íslo pro zaslání jednorázového hesla prost ř ednictvím SMS nebo ová adresa. Pro ov ěř ení totožnosti klienta je vyžadován platný doklad totožnosti, p ř ípadn ě dopl ň kový doklad, p ř i č emž jsou up ř ednost ň ovány doklady s fotografií.
BEZPEČNOST
Kriteria pro srovnávání parametrů bezpečnosti Cena Rozsah nabízených služeb P ř ehlednost Dostupnost
Možnosti autentizace bankovních subjektů Uživatelské jméno a heslo Autorizace SMS kódem Elektronický postup Elektronický kalkulátor