Безопасность

В нашей системе вопросу безопасности уделяется огромное внимание.

Обеспечение механизмов безопасности cистемы CLICK (шифрование, аутентификация в Web-интерфейсе, ЭЦП для запросов) основано на использовании алгоритмов симметричного/асимметричного шифрования, а также необратимых (односторонних) алгоритмов хеширования. Для шифрования и подписания ЭЦП-запросов между подсистемами (DC и BCS) используется криптографический пакет OpenSSL. А также используется стандарт шифрования O`z DSt 1105:2009 для подписания платежей.

Создание защищенного соединения между Web-браузером пользователя и DC.

Между браузером пользователя и DC устанавливается защищенный шифрованный канал по протоколу HTTPS на основе протокола транспортного уровня SSL или TLS (в зависимости от версии браузера пользователя). Все данные по этому каналу передаются в шифрованном виде. Шифрация передаваемых данных происходит ключом длиной от 256 до 2048 бит (в зависимости от версии браузера). Ключи для шифрации являются разовыми для каждой сессии. Все современные браузеры поддерживают шифрацию 256 битным ключом, что в настоящее время является сильной криптографической защитой.

Проверка соответствия введенного пароля происходит на уровне базы данных в процедуре, что дает дополнительную степень защиты и исключает возможность получения хешей паролей, так как процедура не возвращает их, а только проверяет на соответствие имеющихся в базе.

USSD является сессионно-ориентированной технологией, передача данных идет в рамках установленной сессии, ограниченной 30 секундами между каждой командой.

Рекомендации по обеспечению безопасности:

1.    Пароль пользователя должен состоять не менее чем из 8 символов и должен быть составлен в соответствии со следующими рекомендациями:

  •     не содержать имени пользователя, любого другого имени или названия;
  •     не содержать полнозначного слова;
  •    содержать символы, относящиеся к каждой из следующих четырех групп — (1) прописные буквы (A, B, C, D, …); (2) строчные буквы (a, b, c, d, …), (3) цифры (1, 2, 3, 4, …), (4) символы, не являющиеся цифрами или буквами (!, @, #, $, %, …);
  •     запрещено использовать только цифры (например, даты рождения и часто используемые пароли);
  •     пароль должен быть трудно угадываемым (пример наиболее защищённого пароля: g@6U5хt2W3d).

2.    Рекомендуется изменять пароль на периодической основе (не реже одного раза в месяц).
3.    Категорически запрещается выполнять ввод пароля при посторонних лицах, записывать его на какой-нибудь внешний носитель (бумагу, файл и др.), а также сообщать свой пароль другим пользователям.
4.    При малейшем подозрении на то, что пароль мог стать известен третьим лицам, необходимо срочно выполнить процедуру смены пароля.
5.    При использовании ОТР-ключа категорически запрещается передавать свой персональный OTP-ключ третьим лицам, оставлять на столе до и после окончания сеанса работы в Системе.
6.    Категорически не рекомендуется отходить от компьютера или оставлять мобильный телефон во время незавершенного сеанса работы в Системе, так как в этот момент постороннее лицо может нелегально выполнить от имени пользователя любые разрешенные действия.
7.    Необходимо регулярно просматривать раздел «Журнал событий», особенно те его разделы, которые связаны с безопасностью (неудачные попытки входа в Систему, изменение прав, пароля, логина, PIN-кода).
8. Не попадаться на уловки фейк-аккаунтов (группы, боты, каналы) в Telegram, осуществляющих свою незаконную деятельность от лица CLICK. Официальными аккаунтами системы CLICK в Telegram являются: канал @clickuz и Telegram бот @click_uz (отмечен синей галочкой). Всегда обращайте внимание на орфографию и знаки препинания в названиях аккаунтов и не предоставляйте свою персональную информацию в сомнительных источниках.

Соблюдение всех вышеуказанных правил обеспечит надежную защиту вашей личной информации в cистеме «CLICK».