Obszary zastosowań

Wielooddziałowe struktury bankowe mają swoje prywatne sieci wirtualne, rozpięte na kanałach udostępnianych przez publicznych operatorów teletransmisyjnych. Na stykach sieci wewnętrznych i sieci zewnętrznej stoją routery, szyfratory/deszyfratory i systemy zaporowe. Routery bankowe używają technik kryptograficznych do wzajemnej identyfikacji i autoryzacji, wymieniane pakiety danych są szyfrowane, klucze sesyjne są ustalane automatycznie algorytmami Diffi-Helmana. Dlatego miejscami wrażliwymi dla bezpieczeństwa sieci są zarządzanie systemami brzegowymi, np. inicjalizowanie ziarna używanego do autoryzacji korespondentów i aktualizowanie uprawnień na liście dostępowej lub parametrów transmisji, zarządzanie modułami kryptograficznymi oraz parametryzacja systemów zaporowych.

Z perspektywy operacyjnej wygląda to tak, iż przy przyjmowaniu zleceń w sposób tradycyjny urzędnik bankowy najpierw sprawdza tożsamość składającego zlecenie i jego uprawnienia do danego rachunku. Dana osoba składająca zlecenie poświadcza je własnoręcznym podpisem. Klient indywidualny jest reprezentowany przez samego siebie lub przez ustanowionych przez siebie (umocowanych) pełnomocników, zaś klient instytucjonalny przez umocowanych pełnomocników.

W bankowości elektronicznej, tj. przyjmowaniu dyspozycji składanych przez klientów i wysyłaniu im wyciągów ogólnodostępnymi kanałami teletransmisyjnymi, techniki kryptograficzne służą do autoryzacji osoby umocowanej do wglądu do rachunku i do składania zleceń oraz do ochrony poufności przesyłanych komunikatów.

W tzw. homebankingu, przeznaczonym dla klientów instytucjonalnych, ma zastosowanie zarówno podpis elektroniczny dla autoryzacji osoby podpisującej dokument zlecenia, jak i szyfrowanie używane w celu ochrony poufności. Osobie umocowanej do reprezentowania praw danej instytucji do danego rachunku bank wydaje certyfikat podpisu elektronicznego i klucz szyfrowania oraz na wskazanym komputerze w siedzibie instytucji instaluje klienta aplikacji. Umocowana osoba podpisuje elektronicznie zlecenia wysyłane do banku oraz rozpieczętowuje komunikaty przysyłane przez bank, w tym wyciągi bankowe. W obie strony przesyłanie dokumentów może odbywać się pojedynczo lub plikami. System księgowy klienta może online redagować zlecenia, podpisywane przez umocowaną osobę przed wysłaniem do banku, oraz księgować otrzymane wyciągi.

W przypadku detalicznej bankowości internetowej bank wydaje klientom indywidualnie zainicjowany elektroniczny token, który na podstawie wprowadzonego wyzwania (np. 6 cyfr) generuje odpowiedź będącą funkcją zaszytego ziarna i wprowadzonego wyzwania, a w niektórych typach tokenów również funkcją czasu. W prostszych wariantach bank generuje losowo listę haseł jednorazowych, które spełniają podobną rolę co odpowiedź tokena. Klient łączy się z serwerem ze swego domowego lub innego przygodnego komputera za pomocą standardowej przeglądarki, podaje swój unikalny login i autoryzuje swoją tożsamość wprowadzając odpowiedź wygenerowaną przez token na wyświetlone zapytanie lub wskazane hasło z listy. Po przeprowadzeniu autoryzacji uzyskuje wgląd w stan swego rachunku i listę ostatnich operacji. Złożenie każdego nowego zlecenia musi być potwierdzone powtórną wymianą wyzwania i odpowiedzi wygenerowanej przez token lub kolejnym (wskazanym) hasłem z listy. W praktyce stosuje się różne warianty tego rozwiązania - czasem bardziej "mocne", czasem bardziej "ekonomiczne" z nieco uproszczonymi wariantami autoryzacji, żeby ograniczyć liczbę zużytych haseł jednorazowych. Każde zlecenie klient wprowadza ręcznie z klawiatury, a otrzymane informacje odczytuje z ekranu lub drukuje.

W obszarze "small biznesu" bankowość elektroniczna funkcjonuje podobnie, aczkolwiek używa się tutaj wyłącznie "mocnej" autoryzacji, tj. za pomocą tokena. Ponadto dostępny jest większy wachlarz opcji, które są przydatne przedsiębiorcom, np. zlecanie specyficznych form przelewów na ZUS do urzędów skarbowych, obsługa kilku subrachunków itp. oraz możliwość składania pliku zleceń.

Dużą popularnością cieszy się także bankowość telefoniczna. Klient może złożyć zlecenie lub dowiedzieć się o stanie rachunku rozmawiając przez telefon stacjonarny lub komórkowy z operatorem bankowego call center lub porozumiewając się z automatem za pomocą klawiatury numerycznej telefonu z wybieraniem tonowym. W przypadku rozmowy z operatorem oprócz przedstawienia się klient musi podać odpowiedź na dodatkowe pytania wylosowane przez system, np. podać dwie cyfry wylosowane przez system spośród ośmiocyfrowego TELEPIN-u. Operator nie zna treści prawidłowej odpowiedzi, tylko wpalcowuje podaną przez klienta odpowiedź - jeśli będzie zgodna z informacjami zawartymi w systemie, to można przyjąć, że tożsamość osoby dzwoniącej została potwierdzona.

Przy podpisywaniu umowy na obsługę telefoniczną klient otrzymuje zapieczętowaną kopertę z TELEPIN-em, który został wygenerowany przez generator liczb losowych. Numer koperty zostaje wprowadzony do systemu, w którym są zapisane TELEPIN-y zaszyfrowane algorytmem jednokierunkowym - ani operator call center, ani informatyk (administrator) nie ma możliwości podglądu treści TELEPIN-u. Rozmowy klientów z operatorami call center są nagrywane, a nagrania archiwizowane, gdyż stanowią dokument złożenia zlecenia.

W przypadku obsługi automatycznej klient oprócz TELEPIN-u musi posiadać nadany cyfrowy identyfikator oraz przy podpisywaniu umowy lub później "przy ladzie", określić listę ewentualnych kontrahentów - adresatów składanych zleceń przelewów. Ponadto kwota przelewów zlecanych telefonicznie nie może przekroczyć limitu określonego w umowie.

Rozliczenia międzybankowe i wydruki

Rozliczenia międzybankowe i transfery funduszy wykonywane są poprzez przesyłanie dokumentów elektronicznych pomiędzy bankami a centrami rozliczeniowymi. Transfery krajowe będące wykonaniem zleceń złożonych przez klientów lub zleceń własnych banków są rozliczane w systemie ELIKSIR w Krajowej Izbie Rozliczeniowej. Operacje krajowe wysokokwotowe są wykonywane w systemie SORBNET w Narodowym Banku Polskim. Operacje transferu międzynarodowego wykonywane są pomiędzy bankami korespondentami w globalnym systemie SWIFT z centralą w Brukseli.

Wszystkie wyżej wymienione systemy stosują algorytmy kluczy asymetrycznych do podpisywania komunikatów, a do szyfrowania zazwyczaj algorytmów kluczy symetrycznych. Różnią się między sobą szczegółami typów algorytmów, długości kluczy i sposobem wymieniania kluczy. Przykładowo, w systemie ELIKSIR stosuje się osobiste odbieranie z KIR-u nośnika kluczy przez osoby upoważnione do podpisywania komunikatów, natomiast w systemie SWIFT pomiędzy bankami korespondentami połówki kluczy wymieniane są za pomocą klasycznych przesyłek rejestrowanych, adresowanych do rąk własnych osób upoważnionych. Po potwierdzeniu prawidłowego odbioru w podobny sposób zostają przesłane drugie połówki. Klucze są wymieniane z odpowiednim wyprzedzeniem i zawsze są klucze zapasowe, którymi można zacząć się posługiwać w przypadku kompromitacji lub utraty ważności kluczy podstawowych.