ELEKTRONICKÉ BANKOVNICTVÍ (seminář pro studenty BIVŠ obor IT a EO) Doc. Ing. B. Miniberger, CSc Zpracováno podle : 3. 4. 5. 6. 7. 8. 9. 10. 11. Knihy: Přádka M., Kala J.: Elektronické bankovnictví, Computer Press Praha 2000, ISBN 80-7226-328-5 http://www.bsc.cz http:// www.csob.cz http:// www.kb.cz http:// www.zb.cz http://www.gemoney.cz http:// www.csas.cz http:// www.ebanka.cz http://www.bankyvcr.info/ 1
Obsah Úvod (ICT v bance) Platební karty Přímé bankovnictví Telefonní bankovnictví Mobilní komunikace (GSM Toolkit) Homebanking Internetové bankovnictví Příklady a odkazy na přímé bankovnictví (GEMINI) 2
ICT v bance Klient Zákazník s mobilním telefonem Pracovník sledující transakce Hlavní databáze Firewall Firewall Webový server Autentizační systém Platební transakční systém Homebanking Hlavní server Hlavní databáze Firma zajišťující platební transakce Hlavní transakční systém Hlavní systém pro zúčtování platebního CRM systém styku Bankovní přepážka Hlavní server Systém eletronického bankovnictví Pobočkový sever Marketing Kontaktní Pobočkový centrum Banka Firewall 3 Pobočkový bankovní systém systém
Platební karty Kreditní v. Debetní karta Kreditní kartou si půjčeme od banky peníze a tento úvěr následně včetně úroků splácíme Debetní kartou v případě zaplacení čerpáme z účtu vlastní peníze. Nejprve je daná částka zablokována a až dojde k účetnímu vypořádání obchodu, banka ji z vašeho účtu odečte. Teritoriální použití platebních karet Elektronické v. Embosované karty Nejrozšířenější systémy platebních karet Bankovní asociace (VISA International, Europay/Master Card) Nebankovní asociace (American Express, Dinners Club International, JCB) Čipová karta Ztráta či krádež karty Doplňkové služby k platebním kartám 4
Vztah karetní asociace, obchodníka a bank KARETNÍ ASOCIACE (EC/MC, VISA, AMEX BANKA TOK PENĚZ ZÁKAZNÍKA OBCHODNÍKA TELEFONNÍ NEBO PEVNÉ PROPOJENÍ OBCHODNÍK KARTA ZÁKAZNÍK PLATÍCÍ KARTOU BANKA 5
Počet platebních karet přesáhl v ČR 10 milionů (Zdroj: BANKOVNICTVI.IHNED.CZ, 20.6.2008 Z průzkumu společnosti MasterCard, který byl zaměřen především na vnímání a používání kreditních karet v České republice vyplývá, že Češi nakupují prostřednictvím kreditních karet zejména elektroniku a její součásti (45 %), potraviny a zboží běžné spotřeby (27 %) či nábytek a vybavení domácností (20 %). V České republice bylo ke konci roku 2007 vydáno přes deset milionů platebních karet - 6,9 milionu debetních a 3,2 milionu kreditních karet. Prolomení desetimilionové hranice přiblížilo ČR k poměru jedna platební karta na každého obyvatele. Dynamický růst vykazuje především segment kreditních karet, jejichž počet se meziročně zvýšil o 26 %. Vyplývá to z údajů bank a splátkových společností 6
Schéma banky pro přímé bankovnictví 7
Telefonní bankovnictví Realizovatelné operace: Pasivní operace Zjištění zůstatku na účtu Informace o pohybech na účtu Informace o zadaných a z různých důvodů neprovedených transakcích Informace o produktech a službách banky Úrokové sazby Kurzovní lístek Aktivní operace příkaz k úhradě Trvalý příkaz k úhradě Příkaz k inkasu Trvalý příkaz k inkasu Zahraniční platební styk Založení, změna nebo zrušení termínovaného vkladu 8
Telefonní bankéř PEVNÁ TELEFONNÍ LINKA KLIENTA TELEFONNÍ BANKÉŘ JEDNOTNÁ TELF. SÍŤ MOBILNÍ TELEFON KLIENTA BANKOVNÍ SYSTÉM CIF 9
Automatický telefonní styk PEVNÁ TELEFONNÍ LINKA KLIENTA AUTOMATICKÝ TELEFONNÍ SYSTÉM JEDNOTNÁ TELF. SÍŤ MOBILNÍ TELEFON KLIENTA CIF 10
Komunikace s klientem 1. 2. 3. 4. 5. 6. Klient zavolá na příslušné číslo (800X..Y..) Systém ATS ho požádá o sdělení osobního čísla Klient vloží na svém tlf. požadované číslo a # V Případě nalezení klienta v CIFu, požádá jej o PIN Klient vloží na svém tlf. PIN a # Systém ověří shodu vložených znaků a požádá tlačítkovou volbu o volbu operace 7. Nastane zpracování operace u pasivní operace automaticky, u aktivní operace je klient spojen s telefonním bankéřem, který aktivní operaci provede. 8. O výsledku operace si může klient nechat zaslat dokument faxem nebo e-mailem. 9. Operaci ukončí (buď zavěsí nebo sdělí ukončení operátorovi) 11
Konverzant - Ebanka 12
Mobilní komunikace (GSM Toolkit) (GSM-standard pro mobilní telefony - GSM (Global System for Mobile Communication) Základní pojmy SIM karta aktivuje mobil a umožňuje tak využívat všech služeb v síti mobilních telefonů GSM PIN Personal Identification Number, PUK (Personal Unblocking Number) SMS krátké textové zprávy Klienti prostřednictvím SMS zpráv a menu mají možnost komunikovat se svou bankou, se kterou uzavřeli smlouvu o GSM banking. SMS požadavek Mobil klienta SMS požadavek Operátor sítě GSM Odpověď SMS Bankovní systém Odpověď SMS 13
Technické řešení pevného propojení (dříve Paegas, nyní T mobile) MSC mobilní ústředna SMSC centrum krátkých textových zpráv, pro rozesílání zpráv týkajících se pouze činnosti klienta. Dá se realizovat dvěma způsoby: A připojení X.25 (veřejná síť) B připojení TCP/IP přímý spoj k SMSC Paegas 14
GSM banking ČS je poskytován prostřednictvím operátorů mobilní sítě: 15
Bankovní služby GSM SIM Toolkit 16
WAP (Wireless Application Protocol) WAP se dá zjednodušeně přirovnat k webovým stránkám. Jde o jakousi bránu k nejrůznějším službám, jež připravuje operátor mobilní sítě nebo jiná firma. Na rozdíl od webovských stránek, však WAP počítá s výstupem na malé displeje Mobil podporující WAP WAP brána operátora sítě GSM WAP brána operátora sítě GSM WAP stránky banky Bankovní systém 17
Zasílání zpráv prostřednictvím Internetu Váš počítač Poštovní server Vaší banky IE Klientská databáze Pošta SMTP POP 2 SMTP 1 SMTP SMTP Poštovní server Vašeho poskytovatele připojení SMTP Simple Mail Transfer Protocol POP Points Of Presents Schránka URL Uniform Resource Locator 18 Např. http://www.kb.cz
Upozornění zabezpečení od CA 19
Výstraha zabezpečení Název certifikátu souhlasí s názvem stránky, kterou se pokoušíte zobrazit 20
Certifikační autorita Masarykovy univerzity Vystavitel je adresný! 21
Internet banking Transakce prováděná pomocí internetu je několikrát levnější než transakce provedená pomocí telefonu a až stokrát levnější než na pobočce Počítač klienta ISP klienta INTE RNE T ISP banky Veškerá komunikace mezi klientem a bankou je zašifrována pomocí klíčů (SSL Secure Socket Layer) Bankovní systém Délka klíče až 256 bitů 22
Příklad šifrování pomocí klíčů U asymetrických šifer je k zašifrování dat použito jiného klíče než k rekonstrukci těchto dat Symetrické šifry jsou takové, u nichž se stejný šifrovací klíč používá jak pro zašifrování, tak pro zpětnou rekonstrukci dat. Odesílatel O Data určená k šifrování Šifrování dat autorem pomocí veřejného klíče příjemce Xxwqrtyx zakuswvit ymhds Přenos dat Příjemce P Dešifrováná data Dešifrování dat pomocí soukromého klíče příjemce Data určená k šifrování 23
Příklad asymetrického šifrování Odesílatel "O"chce poslat zprávu příjemci "P" P si vygeneruje dvojici klíčů. První je tajný, soukromý. Nazveme ho SK_P. Druhý je veřejný. Nazveme ho VK_P P pošle VK_P O, při kterém se může O jakýmkoliv způsobem přesvědčit, že klíč pochází od "P". (např. si jej převezme osobně na disketě) "O napíše zprávu a tuto zprávu zašifruje pomocí VK_P Tuto zašifrovanou zprávu pošle "O libovolným způsobem P "P rozšifruje zprávu pomocí SK_P Délka klíčů a rozluštitelnost: 40 bitový, 60 bitový - oba jsou technologicky i finančně rozluštitelné 80 bitový - jenom technologicky, nikoliv finančně 128 bitový - je technologicky nerozluštitelný, pouze finančně 256 bitů - v současnosti nejdokonalejší způsob zabezpečení, jehož rozluštění je mimořádně finančně nákladné 24
Druhy internetového bankovnictví Neplnohodnotné vázáno na konkrétní počítač (Homebanking) Plnohodnotné - přístupné z jakéhokoliv počítače připojeného k Internetu proto také nazývané Internet banking) Příklady: GEMINI (www.bsc.cz) ČSOB (www.csob.cz) Česká spořitelna (www.csas.cz) E-banka (ebanka.cz) 25
Homebanking banka v počítači Jedná se o způsob komunikace klienta a banky za pomocí osobního počítače vybaveného speciálním SW, přičemž samostatný přenos probíhá pomocí telefonické linky a modemu (vytáčené nebo pevné spojení) Formy komunikace: Přenosná média a BBS (CD-ROM, médium ZIP nebo JAZ apod. resp. Bulletin Board Systém a přenosem dat pomocí tlf. linky) dnes již zastaralé PC + veřejná datová síť např. BEST KB Homebankig ČSOB, Komunikace je prováděna zabezpečeným přenosem 26
Základní operace ČSOB Homebanking zadávání tuzemských platebních příkazů k úhradě/inkasu zadávání platebních příkazů k úhradě do zahraničí on-line aktuální zůstatek účtu on-line historie účtu (až 30 dní zpětně) možnost nastavení limitů pro platební příkazy zřízení, změna a zrušení trvalých příkazů k úhradě/inkasu svolení k inkasu zřízení, změna a zrušení termínovaných vkladů, možnost zřízení termínovaných vkladů s individuální úrokovou sazbou provádění modelových výpočtů výnosnosti produktů on-line blokace peněžních prostředků a výplatních šeků on-line zobrazení zůstatku na účtu a historie účtu zobrazení, export a tisk elektronických výpisů z účtů, včetně možnosti zasílání i šifrovaným e-mailem cash pooling (vzájemné řízení zůstatků mezi centrálním a závislými účty klienta) zobrazení a tisk seznamu vytvořených platebních příkazů a protokolů o jejich zpracování doplňkové informace (zobrazení, tisk a export kurzovních lístků). Pro identifikaci a autentizaci klient využívá certifikáty certifikační autority I.CA. Pro autorizaci při aktivních operacích je využíván elektronický podpis, pro vstup do aplikace přístupová hesla. Bezpečnostní aspekty jsou řešeny prostřednictvím kombinace symetrické a asymetrické kryptografie. 27
Bezpečnost internetového bankovnictví (Bezpečnost a ochrana dat - BPO je pak samostatným předmětem ve 3. r. bak. st.) Fyzická bezpečnost vs. Bezpečnost aplikace Fyzická bezpečnost (viz BPO) Bezpečnost aplikace spočívá v provádění autentizace klienta, certifikace dat a v jejich ověření, ochrana dat šifrováním) Bezpečná internetová banka musí dbát na 1. Na bezpečnou komunikace s klientem (šifrování, autentizace protistrany, prokazatelnost původu zprávy) 2. Zabránění průnikům dovnitř banky po Internetu 3. Zabezpečení zneužití zevnitř banky 4. Zajištění principu co není dovoleno, je zakázáno 5. Použití systému 4 očí u každé operace jsou nejméně 2 zaměstnanci (nebo logování každé elektronicky prováděné operace 6. Precizní systém přístupových práv pro interní uživatele bankovního systému 7. Další technologická ochrana spočívající v SW na fraud detection 28
GEMINI - univerzální vícekanálový systém přímého bankovnictví 29
GEMINI - GSM banking 30
Charakteristika PC bankovnictví Řešení je vyvinuto na společné platformě GEMINI s důrazem na potřeby zákazníka. Konzistentním způsobem tak podporuje veškeré komunikační kanály (Internet, Call centrum, GSM, IVR...) Díky elektronickým podpisům, šifrování dat, principu neodmítnutelnosti, ověření pravosti založeném na principu tokenů, PKI řešení a dalším, zajišťuje PC bankovnictví vysokou bezpečnost. odstraňuje zátěž s aktualizací software pro velkou klientskou základnu. Uživatelům bankovních produktů je automaticky zasílán upgrade nových verzích nebo aktualizací individuálních modulů a mohou spouštět automatizované procedury pro načtení a instalaci tohoto software. přichází s integrovanou aplikací "Návrhář formulářů", která byla vyvinuta s cílem umožnit bankám přizpůsobení vstupně/výstupních formulářů systému nebo vytvořit nové. S pomocí této aplikace je banka schopna změnit obsah a vzhled vstupně/výstupních formulářů, stejně jako přidávat nové služby nebo produkty, bez nutnosti změny samotného kódu aplikace zajišťuje optimální provoz (včetně monitoringu) aplikace určené k nepřetržitému chodu. Poskytuje rychle použitelné řešení umožňující jednoduchý upgrade, konfiguraci, implementaci a vykazuje vysokou spolehlivost, soukromí, bezpečnost, škálovatelnost a rozšiřitelnost 31
PC bankovnictví poskytuje služby (s podporou mnoha jazyků a měn) : Poskytování informací Zůstatky a transakce, jak ze současnosti, tak i kompletní historie klienta a také cash-flow projekce Detaily mnoha úrovní Schopnosti agregace účtů Administrace zákazníků Oprávnění ke stanovení práv a privilegií pro nové nebo stávající uživatele Důmyslná podpisová pravidla Služby souborů Načítání účetních informací pro sladění a integraci se saldokontem odběratelů a dodavatelů Export dat a import plateb v různých formátech (DBF, CSV, HTML, ID, fixed, atd.) Skriptovací jazyk pro formátování dat (zpracování řetězců, formátování, matematické a logické funkce, zpracování dat, převody znakových sad, atd.) Půjčky Tento modul umožní zákazníkům žádat o půjčky Další služby Bezpečný mail, SMS, Fax, e-mailové zprávy a potvrzení, individuální nastavení a preference, správa certifikátů... Depozita Termínové vklady s fixními nebo pohyblivými úrokovými sazbami Revolvingová termínová depozita Systém nabízí kombinace sazby a termínu definované bankou Platební příkazy Podporuje domácí a zahraniční platby, platby třetí strany, trvalé platební příkazy, proplacení účtů, převody fondů a mnohem více... Víceúrovňová autorizace Tvorba vzorů pro opakované platby 32
GEMINI - PC bankovnictví 33
GEMINI-PC bankovnictví 34
Příklad GEMINI PC bankovnictví (zadávání platebních příkazů) 35
Call center 36
Mobilní bankovnictví Mobilní bankovnictví nabízí pro banky inovativní a efektivní způsob realizace mobilního bankovnictví na zařízeních typu: Personal Digital Assistant (PDA) nebo na mobilním telefonu s technologií Wireless Application Protocol (WAP). Poskytuje bankám a finančním institucím atraktivní distribuční kanál se širokým spektrem dostupných finančních služeb 37
Telefonní bankovnictví je aplikací typu IVR (IVR - Interactive Voice Response - interaktivní hlasový systém), která automatizuje telefonní komunikaci s volajícími zákazníky. Tato aplikace umožňuje uživatelům získat takové informace jako např. aktuální zůstatky na účtech, sazby a také vykonává celou škálu zabezpečených finančních transakcí jako jsou příkazy k úhradě, depozita a mnoho dalších 38
Samoobslužné terminály Samoobslužné terminály pomáhají bankovním a finančním institucím snižovat náklady automatizovanými transakcemi, generovat příjmy ze služeb, upevňovat firemní značku, produkty, služby a také poznat zvyklosti klientů Samoobslužný terminál zajišťuje optimální provoz (včetně monitoringu) vašich aplikací určených k nepřetržitému chodu. Poskytuje rychle použitelné řešení umožňující jednoduchý upgrade, konfiguraci, implementaci a vykazuje vysokou spolehlivost a soukromí 39
Zabezpečení přenosu dat a identifikace banky http://www.mesec.cz/clanky/rizikove-prime-bankovnictvi/ Přenos bankovních informací je choulostivou záležitostí a jeho zabezpečení musí být věnována patřičná pozornost. Zabezpečení průběhu komunikace s bankou a následné identifikace lze dále rozdělit do tří kategorií. V prvé řadě jde o ověření identity banky, za druhé se jedná o šifrování samotných dat a třetí kategorií je bezpečnost prohlížeče. V případě ověření identity banky jde o zajištění toho, aby byla předávaná citlivá osobní data nasměrována správnému subjektu. Z tohoto důvodu musí být zajištěna nejen identifikace zákazníka, ale také ověřena totožnost bankovního ústavu. V praxi tuto podmínku naplňují všechny banky shodně, a to využíváním tzv. protokolu SSL, v jehož případě sehrává důležitou roli webový prohlížeč, který na klientský počítač certifikát stahuje, ověří a postará se o všechno potřebné. 40
Výběr webového prohlížeče Výběr webového prohlížeče je věcí klienta a jehož bezpečnost je pro komunikaci klíčová. Rizika v jeho případě souvisí zejména s bezpečnostními chybami vzniklými při jeho vývoji a možností napadení počítače špionážním softwarem, čemuž lze účinně zabránit sledováním bezpečnostních hlášení, včasným záplatováním, aktualizacemi, instalací antivirových balíků, odstraňovačů spyware a výběrem bezpečného přístupu k aplikaci. Samotným výběrem prohlížeče můžeme mnohým rizikům předejít. Například z pohledu množství chyb a rychlosti jejich oprav jsou na tom alternativní prohlížeče mnohem lépe než Internet Explorer. Chyb je totiž v jejich případě celkově mnohem méně a jsou rychleji opravovány. 41
Autentizace klienta Rizika zabezpečovacích prostředků internetového bankovnictví Za nejméně bezpečné je zcela oprávněně považováno přihlašování (a autorizace plateb) uživatelským jménem a heslem (či jejich obdobami). Bezpečnější jsou certifikáty, ale i ty mají svá rizika. U nich velmi záleží na tom, jakým způsobem jsou používány. Jsou-li uloženy na disku počítače (nebo dokonce veřejně na internetu), je velmi snadné je získat. Mnohem bezpečnější jsou na externím médiu (disketa, CD, USB disk), které je k počítači připojováno pouze za účelem podpisu Jinou kategorií zabezpečení je zasílání SMS kódů na mobilní telefon. V tomto případě jsou dvě možnosti komunikace s bankou - s šifrovaným přenosem pomocí SIM Toolkit a klasické nešifrované SMS zprávy. První varianta má navíc tu výhodu, že přístup k obdržené bankovní zprávě je chráněn navíc bankovním PIN kódem. Jedním z nejbezpečnějších prostředků ochrany internetového bankovnictví je PIN kalkulátor. Jeho výhodou oproti mobilnímu klíči je, že nedochází k přenosu kódu od banky k uživateli a zpět (banka zašle kód na mobilní telefon a uživatel ho po síti internetu posílá zpět do banky k ověření), ale uživatel si generuje kód na základě údajů o transakci, který zasílá bance. Banka na základě stejného algoritmu a stejných vstupních údajů vygeneruje kód také a oba následně porovná. 42
Desatero bezpečného používání internetového bankovnictví 1.Neprozrazujte přístupové kódy a hesla k účtu blízkým osobám ani pracovníkům banky. 2. Nezaznamenávejte si přístupové kódy a hesla k účtu. Pokud jste k tomu nuceni např. složitostí uživatelského jména a délkou hesla, snažte se je zaznamenat způsobem, který nenapoví případnému nálezci kódů, že se jedná o přístup k internetovému bankovnictví. Zároveň uchovávejte přístupové údaje (např. uživatelské jméno a heslo) odděleně. 3. Pravidelně měňte užívaná hesla. 4. Vyhýbejte se užití neznámých počítačů např. v internetových kavárnách, zvláště pokud nepoužíváte jednorázová hesla pro vstup na účet. V případě, že neznámý počítač musíte využít, při nejbližší následné příležitosti změňte heslo. 5. Pravidelně aktualizujte internetový prohlížeč a operační systém. 6. Využívejte a pravidelně aktualizujte antivirové programy. 7. Podpisový certifikát neukládejte na pevný disk ani na internet. 8. Nedůvěřujte e-mailům z banky, které jste si neobjednali. Nikdy své bezpečnostní údaje neposílejte e-mailem. 9. Ověřte si certifikát stránky, na které se k účtu přihlašujete. Pokud se vám přihlášení k účtu nepodaří, přestože vkládáte dle vašeho názoru správné uživatelské jméno a heslo, neprodleně kontaktujte banku - mohli jste být přesměrováni na jiné stránky. 10. Při ukončení práce s internetovým bankovnictvím se vždy odhlaste a zavřete okno prohlížeče. 43
Hodnocení bezpečnosti IB českými uživateli http://www.root.cz/clanky/autorizace-v-internetovem-ban 44
Bankovní poplatky 45
Legislativa 46
Zákony z oblasti Banky, platební styk Nejznámější předpisy v této oblast:i č. 21/1992 Sb č. 6/1993 Sb č. 377/2005 Sb č. 61/1996 Sb č. 124/2002 Sb Zákon o bankách Zákon o České národní bance Zákon o finančních konglomerátech Zákon o některých opatřeních proti legalizaci výnosů z trestné činnosti Zákon o platebním styku 47
Žádné internetové bankovnictví není zcela bezpečné 48