Соответствие простой электронной подписи UIDM требованиям законодательства
В системах дистанционного банковского обслуживания существует необходимость юридически значимого подтверждения пользователем совершаемых операций и неотказуемость пользователя от них в дальнейшем. Такое юридически значимое подтверждение выполняется путём подписания данных об операции электронной подписью.
Для подписания пользователями выполняемых операций (в том числе по переводу денежных средств) в UIDM используется простая электронная подпись[1].
Нормативно-правовые акты
Требования действующих нормативно-правовых актов (п 5.1 Положения Банка России № 683-П[2]) устанавливают, что в целях обеспечения целостности электронных сообщений и подтверждения их составления пользователем кредитные организации должны обеспечивать использование:
-
усиленной квалифицированной электронной подписи,
-
усиленной неквалифицированной электронной подписи, или
-
аналогов собственноручной подписи, кодов, паролей и других средств, в том числе простой электронной подписи, при условии использования средств криптографической защиты информации, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.
Соответствие простой электронной подписи в UIDM требованиям нормативно-правовых актов
Выполняемые UIDM простые электронные подписи требованиям регулятора соответствуют.
Функция имитозащиты реализуется добавлением одноразового пароля (OTP), который пользователь вводит для подтверждения выполнения операции, в данные, используемые для расчёта цифровой подписи этих данных. Цифровая подпись представляет собой хеш-сумму (хэш-код), рассчитанную по алгоритму в соответствии с ГОСТ 34.11—2012.
Цифровую подпись можно проверить по цепочке протоколируемых событий и удостовериться, что операция подписана конкретным пользователем.
Одноразовый пароль, используемый для подтверждения выполнения операции, известен только пользователю. Одноразовый пароль перестаёт действовать после его использования либо через короткое время после его направления пользователю.
Выполняемая UIDM простая электронная подпись уникальна и однозначно связана с конкретным пользователем; в данных аудита (протоколировании события) подписания платёжного или иного документа простой электронной подписью сохраняются:
-
сведения об уникальном идентификаторе пользователя в UIDM,
-
контактные данные пользователя, в том числе мобильный телефон, на который был отправлен одноразовый пароль,
-
использованный пользователем одноразовый пароль подтверждения выполнения операции.