Przez EDI na konto

Uruchomiony w BPH system Sez@m cechuje się dużą prostotą użytkowania. Po raz pierwszy w Polsce takie usługi bankowe były promowane w intensywnej kampanii reklamowej.

Uruchomiony w BPH system Sez@m cechuje się dużą prostotą użytkowania. Po raz pierwszy w Polsce takie usługi bankowe były promowane w intensywnej kampanii reklamowej.

Bank Przemysłowo-Handlowy SA w czerwcu br. zakończył wdrożenie scentralizowanego systemu Profile - klienci przestali być związani z konkretnym oddziałem. "Ułatwiło to nam zadanie. Przy tworzeniu internetowego systemu mogliśmy od razu stworzyć interfejs do danych z kont bankowych" - mówi Tadeusz Liszka, zastępca dyrektora Centrum Bankowości Elektronicznej BPH. Sez@m umożliwia dostęp do konta ROR wszystkim dotychczasowym klientom indywidualnym i, co istotne, nie jest to nowy oddział elektroniczny.

Bez papieru

Obecnie system pozwala na pełny wgląd w saldo rachunku i jego historię, dokonanie przelewów na dowolne konto w banku krajowym oraz zlecenie zastrzeżenia zgubionych czeków. BPH dba o uzupełnianie informacji o wszelkich operacjach na rachunku. Klient widzi wszystkie pola opisowe wysłanych bądź otrzymanych przelewów. "To największa batalia, jaka toczy się w banku, żeby w ogóle odejść od dokumentów papierowych i nie duplikować ich z elektronicznymi. Dlatego od razu staramy się wprowadzać do systemu wszystkie informacje pochodzące np. z dokumentów papierowych otrzymywanych z zewnątrz" - wyjaśnia Tadeusz Liszka. Niestety, z uwagi na ograniczenia związane z architekturą Profile, na razie nie można tworzyć lokat. Klienci, którzy zdecydują się na internetową ofertę, automatycznie przestają otrzymywać comiesięczne wyciągi tradycyjną pocztą.

Wszelkie zlecenia otrzymane przez Internet na razie są przetwarzane raz na dobę. "Dostęp do systemów bankowych w czasie rzeczywistym w trybie online przez Internet 24 godziny na dobę to pewien mit. Systemy te bowiem, po zamknięciu oddziałów, na ogół w nocy, muszą wykonywać różne operacje rozliczeniowe. Uznaliśmy, że nie warto tworzyć zwrotnicy, która zależnie od pory od razu skieruje operację do systemu albo wykona ją w trybie wsadowym" - stwierdza Tadeusz Liszka.

Bank nie chce ujawnić dokładnej liczby osób korzystających z jego oferty bankowości internetowej, ale według nieoficjalnych informacji, w ciągu pierwszego miesiąca od uruchomienia bank w ten sposób pozyskał więcej klientów niż posiada do tej pory Eurokonto WWW w Pekao SA. W pierwszych dnia-ch do banku wpływało ok. 100 umów dziennie z prośbą o otwarcie dostępu do rachunku bankowego przez Internet.

Tylko EDI

Realizacja projektu trwała zaledwie kilka tygodni (praca ciągła na dwie zmiany przez całą dobę). Umowa z Optimusem, który przekonał kierownictwo banku do projektu, zrealizował serwis WWW i współuczestniczył w przygotowaniu kampanii marketingowej, została podpisana dopiero w październiku ub.r., a już w listopadzie system zaczął działać. Zasadniczą część pracy - interfejs sprzęgający Internet z systemem bankowym oraz zabezpieczenia i rozwiązania kryptograficzne - wykonała krakowska firma Doctor Q. Firma ta już wcześniej współpracowała z bankiem przy wdrożeniu wg norm EDI systemu home banking. W Sez@mie przy wymianie dokumentów w transmisji danych są wykorzystywane standardy UN/EDIFACT, zalecane przez Radę Bankowości Elektronicznej.

"Przez 5 lat tworzyliśmy fundamenty bankowości elektronicznej. Dzięki temu, że posługiwaliśmy się EDI, mogliśmy szybko dołączyć Internet jako kanał dystrybucji naszych usług. Jestem gorącym zwolennikiem stosowania standardów" - mówi Tadeusz Liszka. Stosowanie EDI w home bankingu oznacza, że klient nie musi korzystać z oprogramowa- nia dostarczonego mu przez bank. Podobnie w przy-padku interfejsu internetowego - do połączenia obejmującego elektroniczny transfer danych z kontem w banku potencjalnie wystarczy, aby oprogramowanie do prowadzenia domowych rachunków (typu Microsoft Money) mogło importować dokumenty EDI. Dzisiaj jednak w przypadku Sez@mu nadal pozostaje jedynie dostęp przez przeglądarkę WWW.

Dostęp na hasło

Przy projektowaniu architektury rozwiązania nie można było skorzystać z usług tzw. zaufanej trzeciej strony transakcji. Brakowało bowiem odpowiedniej oferty rynkowej. Na szczęście w tym przypadku mamy do czynienia z kontaktem dwustronnym między znanymi sobie podmiotami. Klient po wygenerowaniu klucza prywatnego drukuje jego tzw. odcisk (skrót) i udaje się z nim do wskazanego przez siebie oddziału banku, gdzie po sprawdzeniu zgodności odcisku zostaje podpisana umowa na korzystanie z Sez@mu.

Klucz prywatny po zaszyfrowaniu jest przechowywany nie na dysku twardym komputera użytkownika ani nie na dyskietce, lecz na serwerze banku. W postaci otwartej klucz ten pojawia się tylko chwilowo w czasie sesji, po odszyfrowaniu go w pamięci komputera, z którego korzysta użytkownik. Strony WWW Sez@mu to aplikacja (bazująca na ActiveX, w przyszłości na Javie), której głównym zadaniem jest umożliwienie użytkownikowi wygenerowania klucza prywatnego, zapewnienie bezpiecznego transferu danych i uwierzytelniania transakcji. Zastosowano technologie: RSA, SSL i 3DES.

Powiększ

W rezultacie mamy do czynienia z sytuacją dość paradoksalną - choć system jest maksymalnie prosty w użytkowaniu, bo użytkownik musi znać jedynie swój identyfikator i hasło, nie musi dysponować żadnym kalkulatorem kryptograficznym, to transmisja danych jest zabezpieczona bardzo szczelnie i praktycznie od tej strony - przechwycenia strumienia danych - atak nie grozi. Lecz bezpieczeństwo dostępu do konta bankowego zależy od jednego ważnego elementu - hasła użytkownika. Wprawdzie hasło musi mieć minimum 8 znaków, lecz ewentualnym włamywaczom w sukurs może przyjść technika tzw. social engineering czy próba odgadnięcia hasła poprzez sprawdzenie wąskiego zbioru haseł najbardziej prawdopodobnych (typu imię żony, przezwisko, drobna mutacja znanego innego hasła - niektórzy bowiem posługują się zawsze tym samym zestawem login-hasło, np. rejestrując się w różnych serwisach internetowych). W rozwiązaniu przyjętym w BPH klient ponosi całkowitą odpowiedzialność za zachowanie hasła w tajemnicy. Co prawda urzędnicy banku pocieszają, że jedyną metodą wyprowadzenia pieniędzy z konta jest dokonanie przelewu. W systemie zawsze pozostaje trwały ślad takiej operacji i w przeciwieństwie do wypłat z bankomatu nie jest to transakcja anonimowa.

"Nie da się opracować systemu całkowicie bezpiecznego, a jednocześnie wygodnego. Bezpieczeństwo w bankowości internetowej musi opierać się na tym, że nie warto, czy mówiąc dokładniej, nie opłaci się, łamać systemu" - uważa Tadeusz Liszka. BPH ma nadzieję na masowe zainteresowanie ofertą. Zdaniem specjalistów z banku, systemy oparte na kalkulatorach kryptograficznych nie mają perspektywy rozwoju w tym segmencie rynku. Przyszłość należy do kart procesorowych, które są właściwym miejscem do wyliczania podpisów cyfrowych.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200