Аутентификационный центр

r
Альфа-Банк

Альфа-Банк, основанный в 1990 году, является универсальным банком, осуществляющим все основные виды банковских операций, представленных на рынке финансовых услуг, включая обслуживание частных и корпоративных клиентов, инвестиционный банковский бизнес, торговое финансирование и управление активами.

Предпосылки проекта

В 2005 году Альфа-Банк вывел на рынок новый продукт для розничных клиентов — интернет-банк «Альфа-клик». За несколько лет сервис получил широкое распространение благодаря простоте использования и широкому спектру предоставляемых возможностей. В то же время, одновременно с ростом популярности продукта появились и попытки мошеннических операций. Банк в течение нескольких лет совершенствовал механизмы защиты клиентов и продолжал искать новые, еще более безопасные технологии.

В рамках данной работы в сентябре 2010 года было принято решение о создании Аутентификационного Центра, на который была возложена задача по защите банка от мошенников с учетом как требований сегодняшнего дня, так и будущих перспектив.

Задачи

Основной задачей проекта стало внедрение Центра Аутентификации как самостоятельного сервиса, обеспечивающего проверку подлинности клиентов и транзакций с использованием строгой (двухфакторной) аутентификации. При этом Центр Аутентификации должен удовлетворять ряду требований, включающих:

  • обеспечение альтернативных (в дополнение к текущим) способов аутентификации операций в дистанционных каналах;
  • обеспечение возможности безопасной аутентификации клиентов в разных каналах дистанционного взаимодействия с банком: интернет-банк, мобильный банк, телефонный банк и т.д.;
  • поддержку всех имеющихся технологий аутентификации: PKI, EMV CAP, OATH и других методов аутентификации с использованием токенов на базе симметричных криптографических алгоритмов;
  • поддержку средств аутентификации конечных пользователей от различных поставщиков таких средств;
  • обеспечение возможности быстрого и простого повышения производительности;
  • поддержку отказоустойчивой архитектуры.
Продукты, используемые при построении решения

Основным компонентом Аутентификационного Центра является сервер аутентификации SafeSign Authentication Server компании Thales e-Security.

Реализованная система управления жизненным циклом токенов SDAC обеспечивает взаимодействие Аутентификационного Центра с сервером аутентификации и с информационными системами банка. В качестве средства аутентификации клиентов «Альфа-клик» предполагается использование токенов на базе мобильных телефонов, разработанных компанией VASCO Data Security.

Описание решения

Аутентификационный сервер SafeSign обеспечивает подтверждение подлинности клиента и проверку валидности транзакций, получая от системы интернет-банкинга «Альфа-клик» информацию о предоставленных пользователем одноразовых паролях и цифровых подписях транзакций, обеспечивая проверку подлинности последних. В случае, если проверка пароля/цифровой подписи прошла нормально, сервер передает соответствующее сообщение в систему SDAC, которая, в свою очередь, передает сообщение системе интернет-банкинга. Для обеспечения требуемого уровня защищенности хранение криптографических ключей клиентов в базе данных сервера защищено аппаратным криптографическим модулем.

Модуль SDAC обеспечивает поддержку жизненного цикла мобильного токена, обеспечивая клиента банка информацией для установки аутентификационного приложения на мобильный телефон и последующий процесс активации приложения, после завершения которого клиент может использовать приложение для целей аутентификации.

Для разбора конфликтных ситуаций обеспечивается ведение защищенных журналов, дающих возможность убедиться в том, имело ли место мошенничество и, если да, то сделать выводы о возможном виновнике.

Результаты внедрения

  • Созданы предпосылки для увеличения лимитов на проведение операций в системах дистанционного обслуживания, что создает дополнительную привлекательность каналов ДБО для клиентов банка.
  • Создана универсальная платформа аутентификации, поддерживающая все имеющиеся на сегодняшний день технологии аутентификации.
  • ИТ-персонал банка и служба безопасности получили инструмент для эффективной борьбы с внешним и внутренним мошенничеством в любых каналах дистанционного обслуживания клиентов банка.
  • Планируется тестирование возможности использования механизма аутентификации EMV CAP для клиентов розничного интернет-банка «Альфа-клик».
  • Банк может проводить эффективную сегментацию своих клиентов, предоставляя каждому сегменту наиболее подходящее для него средство аутентификации.
  • Созданы предпосылки для внедрения строгой аутентификации в другие каналы дистанционного банковского обслуживания.
  • Возможно создание системы Single-Sign-On (SSO), базирующейся на системе строгой аутентификации, для сотрудников банка, что значительно повысит защищенность банковских приложений и уменьшит нагрузку на сетевых администраторов банка.
  • Система Single-Sign-On ведет защищенные журналы, что существенно снижает риски от неправомерных действий сотрудников банка.