Elektronické bankovnictví Přednáška v kurzu KBaA2 ZS 2009
Definice Elektronické bankovnictví = poskytování standardizovaných bankovních produktů a služeb klientele prostřednictvím elektronických cest (S.Polouček) Basilejský výbor pro bankovní dohled definuje pojem elektronické bankovnictví jako poskytování bankovních produktů a služeb malých hodnot klientele prostřednictvím elektronických cest. Tyto produkty a služby mohou zahrnovat přijímání depozit, půjčování, vedení účtů, finanční poradenství, elektronické proplácení účtů a poskytování dalších elektronických platebních produktů a služeb, jako jsou elektronické peníze
Formy elektronického bankovnictví tj. formy vzdáleného přístupu: (1) Platební karty (2) Homebanking (3) Phonebanking (callbanking) (4) GSM banking (5) Internetbanking (P.Dvořák)
Komunikační prostředky Fyzické předávání dat.. PC Telefonní síť tel.přístroj/pc Internet.. PC Komutované linky PC Datové sítě PC Síť GSM.GSM mobil Datové sítě.samoobslužná zóna
Platební produkty (podle zákona o platebním styku) Dvě varianty: (a) prostředek vzdáleného přístupu k peněžní hodnotě, (b) elektronický peněžní prostředek. Elektronické peníze = peněžní hodnota uchovávaná na elektronickém peněžním prostředku
Elektronický peněžní prostředek (podle zákona o platebním styku - 15) = platební prostředek, který uchovává peněžní hodnotu v elektronické podobě a který je přijímán jako platební prostředek i jinými osobami než jeho vydavatelem. Rozdíl v právní úpravě v ČR a EU (doporučení Komise ES č.97/489/es; Směrnice 2000/46/ES) Podle ES: pouze karty a počítačová paměť
Způsoby uložení elektronických peněz (1) na samostatném nosiči (karta, minikarta, klíčenka) (2) v paměti počítače
Emitenti elektronických peněz = pouze licencované instituce Banky Pobočky zahraničních bank Osoby oprávněné podle jednotné bankovní licence Jiné osoby se souhlasem ČNB
Klasifikace elektronických peněžních prostředků Kritérium Forma el. peněz Uložení el.peněz Identifikace uživatele Komunikace s uživatelem Založené na SW identifikovatel né Off-line Založené na kartě Anonymní On-line
Internet a jeho úloha v elektronickém bankovnictví Základy Internetu vznikly v 80.tých letech 20.století Základní články Internetu: 1. síť 2. server 3. klient
Z historie První prohlížeče:netscape Navigator, po něm Microsoft Internet Explorer Vývoj HTML Vyhledávací služby: Yahoo, Alta Vista aj.
Problémy s využitím Internetu pro banky Vysoká citlivost bankovních informací Počítačové sítě jsou děravé Jsou vystaveny útokům hackerů
Velká výhoda Internetu = JE LEVNÝ
Podrobnější charakteristiky elektronického bankovnictví Jiné definice : neosobní elektronická forma komunikace mezi bankami a jejich klienty alternativní distribuční kanál poskytování bankovních služeb
Nejčastější operace v ČR Informace o stavu účtu Tuzemský platební příkaz
Bezpečnost elektronického bankovnictví Problematika zabezpečení: 1. ověření identity banky 2. šifrování dat 3. bezpečnost prohlížeče
1. ověření identity Protokol SSL Prokázání identity banky certifikátem SSL Ověření identity klienta Digitální (elektronický podpis) a jeho význam Úloha klíčů Soukromý klíč (úloha PINu) Veřejný klíč Poskytovatel certifikačních služeb
Úloha elektronického podpisu Význam elektronického podpisu pro bezpečnost bankovních operací Co zajišťuje elektronický podpis: 1. Autenticita 2. integrita 3. časová souslednost
Zákonná úprava digitálního podpisu V České republice (a dalších zemích EU) platí již několik let zákony, podle kterých je za jistých podmínek možno elektronický podpis nebo některé druhy elektronických podpisů používat místo klasického. Tuto oblast v současné době pokrývá Zákon č. 227/2000 Sb., o elektronickém podpisu, v platném znění (novelizován zákony č. 226/2002 Sb., 517/2002 Sb., 440/2004 Sb., 635/2004 Sb., 501/2004 Sb., 444/2005 Sb.).
Smysl zákona Smyslem zákona o elektronickém podpisu je zavedení legislativního pořádku do oblasti používání elektronického podpisu. Je zde upřesněna používaná terminologie a definovány příslušné pojmy tak, aby byl odlišen stupeň důvěryhodnosti a bezpečnosti jednotlivých elektronických podpisů. Zaručený elektronický podpis se stále více mimo jiné také uplatňuje ve státní sféře, i přes obtíže úřadů přizpůsobit se novým technologiím a navzdory nutnosti za kvalifikované certifikáty každoročně platit.
Kvalifikovaný certifikát Kvalifikovaný certifikát musí obsahovat a) označení, že je vydán jako kvalifikovaný certifikát podle tohoto zákona, b) obchodní jméno poskytovatele certifikačních služeb a jeho sídlo, jakož i údaj, že certifikát byl vydán v České republice, c) jméno a příjmení podepisující osoby nebo její pseudonym s příslušným označením, že se jedná o pseudonym, d) zvláštní znaky podepisující osoby, vyžaduje-li to účel kvalifikovaného certifikátu, e) data pro ověřování podpisu, která odpovídají datům pro vytváření podpisu, jež jsou pod kontrolou podepisující osoby, f) zaručený elektronický podpis poskytovatele certifikačních služeb, který kvalifikovaný certifikát vydává, g) číslo kvalifikovaného certifikátu unikátní u daného poskytovatele certifikačních služeb, h) počátek a konec platnosti kvalifikovaného certifikátu, i) případně údaje o tom, zda se používání kvalifikovaného certifikátu omezuje podle povahy a rozsahu jen pro určité použití, j) případně omezení hodnot transakcí, pro něž lze kvalifikovaný certifikát použít.
2. šifrování dat Proč je nutno šifrovat? Šifrovací algoritmy
3. bezpečnost Významnou úlohu pro využívání elektronického bankovnictví je zajištění bezpečnosti veškerých bankovních operací jak pro banku, tak pro klienta
Certifikáty a certifikační autority Proto, aby se stal elektronický podpis důvěryhodný, musí podepisující osoba v některých případech používat elektronický podpis založený na certifikátu. Elektronický podpis je v takovém případě pro každou podepsanou zprávu jiný a odvozuje se od této zprávy. Právě takovýto podpis se nazývá zaručeným elektronickým podpisem.
(pokračování) Certifikát lze získat od poskytovatele certifikačních služeb (certifikační autority). Pro získání certifikátu u některé certifikační autority stačí pouze platná adresa elektronické pošty (jiná ověřuje totožnost pouhým vizuálním srovnáním fyzické podoby žadatele s oficiální fotografií v dokladech v kanceláři certifikační autority).
(pokračování) Certifikační autorita plní dvě základní funkce: certifikační - zaručující, že deklarovaný veřejný klíč přísluší dané osobě, validační - potvrzující platnost certifikátu
(pokračování technická infrastruktura) ) Veřejný klíč Privátní klíč Certifikát Revokovaný cetifikát Revokační list CRL PKCS10 formát žádosti
Informace požadované pro ověření totožnosti klienta Stát; město/obec; ulice/místo, číslo popisné, PSČ; příjmení klienta; křestní jméno klienta (příp. iniciály dalších jmen); rok, měsíc a den narození; kontaktní e-mail adresa klienta; kontaktní telefonní číslo; telefonní číslo pro zaslání jednorázového hesla prostřednictvím SMS nebo e-mailová adresa. Pro ověření totožnosti klienta je vyžadován platný doklad totožnosti, případně doplňkový doklad, přičemž jsou upřednostňovány doklady s fotografií.
BEZPEČNOST
Kriteria pro srovnávání parametrů bezpečnosti Cena Rozsah nabízených služeb Přehlednost Dostupnost
Možnosti autentizace bankovních subjektů Uživatelské jméno a heslo Autorizace SMS kódem Elektronický postup Elektronický kalkulátor