Соответствие простой электронной подписи RooX UIDM требованиям законодательства
В системах дистанционного банковского обслуживания существует необходимость юридически значимого подтверждения пользователем совершаемых операций и неотказуемость пользователя от них в дальнейшем. Такое юридически значимое подтверждение выполняется путём подписания данных об операции электронной подписью.
Для подписания пользователями выполняемых операций (в том числе по переводу денежных средств) в RooX UIDM используется простая электронная подпись[1].
Нормативно-правовые акты
Требования действующих нормативно-правовых актов (п 5.1 Положения Банка России № 683-П[2]) устанавливают, что в целях обеспечения целостности электронных сообщений и подтверждения их составления пользователем кредитные организации должны обеспечивать использование:
-
усиленной квалифицированной электронной подписи,
-
усиленной неквалифицированной электронной подписи, или
-
аналогов собственноручной подписи, кодов, паролей и других средств, в том числе простой электронной подписи, при условии использования средств криптографической защиты информации, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.
Соответствие простой электронной подписи в RooX UIDM требованиям нормативно-правовых актов
Выполняемые RooX UIDM простые электронные подписи требованиям регулятора соответствуют.
Функция имитозащиты реализуется добавлением одноразового пароля (OTP), который пользователь вводит для подтверждения выполнения операции, в данные, используемые для расчёта цифровой подписи этих данных. Цифровая подпись представляет собой хеш-сумму (хэш-код), рассчитанную по алгоритму в соответствии с ГОСТ 34.11—2012.
Цифровую подпись можно проверить по цепочке протоколируемых событий и удостовериться, что операция подписана конкретным пользователем.
Одноразовый пароль, используемый для подтверждения выполнения операции, известен только пользователю. Одноразовый пароль перестаёт действовать после его использования либо через короткое время после его направления пользователю.
Выполняемая RooX UIDM простая электронная подпись уникальна и однозначно связана с конкретным пользователем; в данных аудита (протоколировании события) подписания платёжного или иного документа простой электронной подписью сохраняются:
-
сведения об уникальном идентификаторе пользователя в RooX UIDM,
-
контактные данные пользователя, в том числе мобильный телефон, на который был отправлен одноразовый пароль,
-
использованный пользователем одноразовый пароль подтверждения выполнения операции.