Пример использования технологии Hitachi Finger vein в рамках Банка Barclays
Корпоративные банковские транзакции
с использованием технологии биометрического
сканирования рисунка вен и PKI – пакетов
(information provided by Hitachi Business Security Group)
(All rights reserved, the presentation created only for marketing purpose)
Продукты и Маркетинг:
• Быть инновационным.
• Отличаться от конкурентов.
• Повысить уровень финансовых технологий для пользователей.
Операции / BAU (Business as usual):
• Предоставить более дешевую операционную модель по цене затрат на эмиссию банковских карт.
• Уменьшить инсталляционные IT проблемы c мульти-банковскими потребителями.
«Анти-Фрод» / Цифровая безопасность:
• Устранить риск передачи третьим лицам учетных данных (Chip & PIN) (POS-терминалы) - блокировка транзакции.
• Повысить уровень безопасности – более мощный контур безопасности.
• Создание безотказности всех финансовых транзакций (без сбоев).
-
Крупные транснациональные корпорации; (MNC’s) – например, BP Oil, Shell, Amazon, IBM, Procter and Gamble;
-
Большой оборот, связанный с транзакциями за пределы Великобритании, например, > 8 миллионов фунтов стерлингов за год;
-
Открытые акционерные общества (PLC);
-
Фондовый рынок, рынок ссудного капитала;
КАЧЕСТВЕННАЯ
АЛЬТЕРНАТИВА
-
Защищенная работа отделов платежей в департаменте кредиторской задолженности.
-
Количество устройств: 30 000.
-
Замена для устройств Chip&Pin (POS-терминалов).
-
Сверка: Сверка на карте (верификация биометрического паттерна производится на чипе карты пользователя) – в итоге НЕТ риска от хакеров и взлома системы, так как объект взлома системы фактически отсуствует.
ПРОСТОТА И УДОБСТВО ИСПОЛЬЗОВАНИЯ
ВЫСОКИЙ УРОВЕНЬ
БЕЗОПАСНОСТИ
Сочетание высокого уровня Безопасности и сохранение удобства и скорости рабочих процессов:
-
Очевидная проблема - с повышением безопасности возникают сложности с обеспечением легкости и удобства работы пользователей.
-
Повышение уровней безопасности часто меняет ежедневный рабочий процесс, снижает эффективность работы сотрудника и, как правило, встречает сопротивление со стороны рабочего коллектива.
Разве не было бы замечательно, если бы вы могли повысить безопасность и при этом ускорить выполнение рабочих операций?
Разделение процессов в рамках верификации и одобрения финансовых операций:
Этап 1 – Input
-
Настройка новых учетных записей.
-
Настройка новых "бенефициаров".
-
Настройка платежных сумм.
-
Возможность перевода между фондами.
-
Вводящий данные не может верифицировать, откорректировать или разблокировать транзакцию.
-
Desktop-функция для сотрудников отдела кредитного обслуживания внутри корпоративного клиента.
Этап 2 – Верификация и
настройка
-
Транзакция может быть откорректирована посредством изменения значений, назначения платежа, валюты итд.
-
Desktop-решение для менеджера платежного отдела кредитного департамента при работе с аккаунтами – сотрудник, осуществляющий контроль верификации и корректировки платежей не может осуществлять сами транзакции или авторизовать их.
Этап 3 – Авторизация платежей
-
Процесс бинарной авторизации процесса (разрешить / не разрешить) на основе проверки обоснованности представленных транзакций, как правило, больших сумм.
-
Нет возможности отправлять транзакции или изменять основные платежные реквизиты.
-
Мобильный пользователь.
Поэтапный платежный процесс устраняет риск сговора между двумя лицами и обеспечивает более независимый визуальный контроль в целях выявления ошибочных, неодобренных транзакций или мошеннических действий.
Login – безопасный доступ
Безопасная авторизация и регулирование ключевых финансовых транзакций, то есть установки аккаунта, определение получателя, контроль движения средств, D/D (Direct Debit), S/O (Standing Order), FPS (Faster Payment System) итд.
Каковы авторизируемые операции, на примере рабочего Портала Банк-клиента?
Зачем заменять Chip&PIN (POS – терминал) на биометрию?
POS - терминал / Сложность в использовании
Покупатель должен:
Это дорого, трудоемко и неэффективно
Вставить карту
Ввести PIN
Эмиссия карт / Замена карт
Задержка для клиентов до момента выпуска карты
Процедуры, связанные с выполнением операций, связанных с введением PIN - кодов – не удобные для сотрудников.
Ожидание OTP
Верификация действий
Шаг 1
Положите палец в зону сканирования
Шаг 2
Гемоглобин в крови подсвечивается инфракрасной подсветкой
Шаг 3
Рисунки вен отсканированы
Зона сканирования
Инфракрасная подсветка
ЭКО-СИСТЕМА БЕЗОПАСНОСТИ
Попытки определить оверлеи / Потеря фокуса
Передача данных между LIB и шифровка данных B-1 во время сеанса
Обновления программного обеспечения B-1 выпускаются с цифровой подписью и верифицируется Hitachi
КЛИЕНТ-ПК
WEB - BROWSER
PLUG-IN
LIB
CCID Driver (Windows)
Все устанавливаемое программное обеспечение верифицировано Hitachi
Процессинг изображения полностью внутри сканера
Хранение ключей безопасности и биометрических данных в SIM
Биометрические паттерны хранятся в зашифрованном формате
Сверка биометрических паттернов и цифровая подпись хранится на SIM карте
SIM имеет категорию FIPS140-2 level 3/EAL 5+
Используйте устройство «логического» доступа Hitachi посредcтвом биометрического сканирования вен
Использование существующей стандартной инфраструктуры открытых ключей, необходимой для Chip & PIN (POS терминалов)
Создание защищенного транзакционного инструмента «Подпиши что ты видишь»
Объединение в рамках одного устройства алгоритма верификации пользователя и механизма проверки подлинности банковских транзакций
Возможность для пользователей мобильных телефонов авторизовать платежные поручения в условиях, когда нет доступа к офису
Карманные биометрические сканеры рисунка вен пальца
HITACHI B2
В рамках проекта также были использованы карманные считыватели HITACHI B2. Портативные карманные удобыные устройства через шифрованный канал bluetooth Smart, мобильные девайсы и интернет были интрегрированы как в упрвленческую, так и в клиентскую системы банка Barclays.
Сканеры также имеют слот для смарт Sim-карты и позволяют хранить как PKI - ключи банка, так и биометрический хэш для абсолютно автономной верификации операций пользователей.
Пользоветели:
-
Корпоративное управление банка
-
Департаменты стратегических финансовых операций
-
Представители партнерских ивестиционных команий
-
Представители фондового рынка (трейдеры и инвесторы)
-
Руководители финансовых департаментов ключевых клиентов - компаний, корпораций, организаций
Технические детали сверки на карте:
Заведение пользователя:
-
Сканирование паттерна вен
-
Анализ паттерна рисунка вен
-
Создание хэша данных на основе паттерна
-
Передача в SIM карту
-
Шифрование данных биометрического образа (хэша)
-
Создание частного ключа и публичного ключа (Private Key and Public Key) и сертификата (опционально в момент заведения пользователя) Certificate (optional at enrol time)
-
Хранение как образа (хэша) и ключей в защищенном секторе на SIM-карте
Сверка:
РЕЗУЛЬТАТ
-
Сканирование паттерна вен
-
Анализ паттерна рисунка вен
-
Создание хэша данных на основе паттерна
-
Передача в SIM карту
-
Шифрование данных биометрического образа (хэша)
-
Сверка с заведенным образом (хэшем)
-
В случае совпадения зашифрованный сектор разблокируется и используется личный ключ (Private key) для подписи транзакции
К личному ключу (Private Key) можно получить доступ на SIM – карте, используя технологию биометрического сканирования вен в качестве замены PIN-кода
-
Упрощение всех рабочих процессов
-
Меньшая зависимость от карт и компаний-изготовителей карт и считывателей карт
-
Повышенный уровень безопасности и улучшенная система транзакционного аудита
-
Транзакционный процесс более ускоренный, что увеличит продуктивность системы
-
(Опционально) Уменьшение затрат так как процессы более простые, а карты можно использовать циклично для разных мест и задач (с сохраненным биометрическим хэшем)
Связь пользователя напрямую
с транзакцией
Персональная верифицированная ответственность за действия
Стандартная модель (Chip&PIN) POS-терминал:
Банк не контролирует процесс и зависит от стоимости
Использование PIN
Ежегодные сервисы персонализации для банка
Использование карт
Банк
«Карточная компания»
«Карточная компания»
Контроль процесса осуществляется компанией – изготовителем карт
Сервисы эмиссии карт предоставляются банку по каждому клиенту
-
Транзакция привязана к карте, а не к человеку + PIN не индивидуален
-
Скимминг карты / взлом PIN-кода
-
Потребители оспаривают сделки с большими суммами, напр. «Это не я»
-
Передача карт и PIN- кодов сотрудниками «для удобства»
-
Процесс дорогой
ПОТРЕБИТЕЛЬ
Опциональная модель на основе биометрических ПАК:
Банк не контролирует процесс стоимость
Использование PIN
Ежегодные сервисы персонализации для банка
Банк
«Карточная компания»
Использование карт
«Карточная компания»
ПОТРЕБИТЕЛЬ
-
Банк контролирует процессы
-
Большое снижение затрат на карты и сопутствующие сервисы
-
Транзакция связана с конкретным пользователем посредством биометрии
-
Снимается проблема Взлома и оспаривания авторизации транзакций
-
Оптимизация внутреннего учёта кадров, контроль всех онлайн операций сотрудников.
-
Биометрический сегментированный доступ сотрудников к системам банка с введением персональной ответственности за операции.
-
Ускорение процессов посредством биометрического принципа электронной подписи.
-
Борьба с "фродом" и мошенничеством как внутри банка, так и при работе с клиентами.
-
Контроль и верификация финансовых операций. Личная ответственность за совершенные транзакции и документоведение.
-
Контроль работы отделений и филиалов Банка.
-
Упрощение и ускорение механизма обслуживания клиентов на уровне отделений Банка и в ретейле.
-
Персонификация и безопасность действий клиентов банка на уровне компаний, инвестиционных структур, рынка ссудного капитала и трейдеров фондового рынка.
-
Упрощение всех рабочих процессов. Сжатие и совершенствование всей системы безопасности.
Широкий спектр итоговых оптимизаций:
Мнение:
«Это решение является передовым и инновационным, по сути - прямым ответом на озабоченность клиентов по поводу угрозы мошенничества в Интернете». «Нам удалось применить технологии для целого ряда предприятий в рамках широкого спектра программ и энтузиазм по поводу продукта огромен».
«В конечном итоге, я надеюсь, что технология Hitachi поможет другим организациям в борьбе с онлайн – преступностью».
Ashok Vaswani
CEO Barclays Personal and Corporate Banking
