Задать вопрос

Безопасность

Обеспечение механизмов безопасности cистемы CLICK (шифрование, аутентификация в Web-интерфейсе, электронная цифровая подпись для запросов) основано на использовании алгоритмов симметричного/асимметричного шифрования, а также необратимых (односторонних) алгоритмов хеширования. Для шифрования и подписания ЭЦП-запросов между подсистемами (DC и BCS) используется криптографический пакет OpenSSL. Для подписания платежей используется стандарт шифрования O`z DSt 1105:2009.

Создание защищенного соединения между Web-браузером пользователя и DC. Между браузером пользователя и DC устанавливается защищенный шифрованный канал по протоколу HTTPS на основе протокола транспортного уровня SSL или TLS (в зависимости от версии браузера пользователя). Все данные по этому каналу передаются в шифрованном виде. Шифрация передаваемых данных происходит ключом длиной от 256 до 2048 бит (в зависимости от версии браузера). Ключи для шифрации являются разовыми для каждой сессии. Все современные браузеры поддерживают шифрацию 256 битным ключом, что в настоящее время является сильной криптографической защитой.

Проверка соответствия введенного пароля происходит на уровне базы данных в процедуре, что дает дополнительную степень защиты и исключает возможность получения хешей паролей, так как процедура не возвращает их, а только проверяет на соответствие имеющихся в базе.
USSD является сессионно-ориентированной технологией, передача данных идет в рамках установленной сессии, ограниченной 30 секундами между каждой командой.
Кроме того, для осуществления платежей/переводов через Web-интерфейс cистемы «CLICK», пользователь обязуется получить сертификат ЭЦП в Центре регистрации ключей электронных цифровых подписей. Центр регистрации ЭЦП несет ответственность перед пользователем за действительность сертификата ключа ЭЦП на период срока его действия и поддержку его в реестре Центра регистрации ключей ЭЦП.

Рекомендации по обеспечению безопасности:
1.    Пароль пользователя должен состоять не менее чем из 8 символов и должен быть составлен в соответствии со следующими рекомендациями:

  •     не содержать имени пользователя, любого другого имени или названия;
  •     не содержать полнозначного слова;
  •    содержать символы, относящиеся к каждой из следующих четырех групп - (1) прописные буквы (A, B, C, D, …); (2) строчные буквы (a, b, c, d, …), (3) цифры (1, 2, 3, 4, …), (4) символы, не являющиеся цифрами или буквами (!, @, #, $, %, ...);
  •     запрещено использовать только цифры (например, даты рождения и часто используемые пароли);
  •     пароль должен быть трудно угадываемым (пример наиболее защищённого пароля: g@6U5хt2W3d).

2.    Рекомендуется изменять пароль на периодической основе (не реже одного раза в месяц).
3.    Категорически запрещается выполнять ввод пароля при посторонних лицах, записывать его на какой-нибудь внешний носитель (бумагу, файл и др.), а также сообщать свой пароль другим пользователям.
4.    При малейшем подозрении на то, что пароль мог стать известен третьим лицам, необходимо срочно выполнить процедуру смены пароля.
5.    При использовании ОТР-ключа категорически запрещается передавать свой персональный OTP-ключ третьим лицам, оставлять на столе до и после окончания сеанса работы в Системе.
6.    Категорически не рекомендуется отходить от компьютера или оставлять мобильный телефон во время незавершенного сеанса работы в Системе, так как в этот момент постороннее лицо может нелегально выполнить от имени пользователя любые разрешенные действия.
7.    Необходимо регулярно просматривать раздел «Журнал событий», особенно те его разделы, которые связаны с безопасностью (неудачные попытки входа в Систему, изменение прав, пароля, логина, PIN-кода).

Соблюдение всех вышеуказанных правил обеспечит надежную защиту личной информации пользователя cистемы «CLICK».