В системе дистанционного банковского обслуживания (ДБО) «iBank» используются несколько основных механизмов обеспечения информационной безопасности.

Электронная подпись (ЭП) под электронными документами.

ЭП клиента используется в качестве аналога собственноручной подписи. Электронный документ с ЭП, отправленный клиентом и полученный банком, является основанием для совершения банком финансовых операций.

Для формирования ЭП клиента в системе реализованы российские криптографические алгоритмы в соответствии с ГОСТ 28147-89 (шифрование, имитовставка), ГОСТ Р34.11-2012 (выработка значения хеш-функции), ГОСТ Р34.10-2012 (формирование и проверка ЭП).

В процессе предварительной регистрации генерируется пара ключей: ключ ЭП и ключ проверки ЭП. Ключ ЭП клиента используется для формирования ЭП клиента под финансовыми документами и другими исходящими от клиента распоряжениями. Ключ ЭП клиента хранится в хранилище в зашифрованном виде; для доступа к этому хранилищу требуется ввести пароль. Хранилище ключей ЭП — аппаратное устройство «MS_KEY K» — «АНГАРА», которое обеспечивает неизвлекаемость (невозможность считывания) ключа ЭП клиента.

В Банке ключа ЭП клиента нет, есть только ключ проверки ЭП клиента, с помощью которого банковский сервер проводит аутентификацию клиента в системе и проверяет подпись клиента под электронными документами. Проверка ЭП клиента осуществляется банковским сервером в момент подписи клиентом документов, а также при выгрузке документов в АБС банка. Ключи проверки ЭП клиентов хранятся в банке, в БД «iBank» в виде Сертификатов ключей проверки ЭП клиентов, заверенных банковским администратором. Восстановить из ключа проверки ЭП ключ ЭП клиента технически невозможно.

У клиента может быть необходимое ему количество ключей ЭП. Каждому ключу ЭП пользователь присваивает наименование.Для криптографической защиты информации с использованием ключей ЭП в систему Интернет-Банка встроена сертифицированная ФСБ РФ криптобиблиотека «Крипто-КОМ» (далее по тексту — СКЗИ), имеющая сертификаты ФСБ России СФ/114-3270 от 11.01.2018 г., СФ/124-3271 от 11.01.2018 г., удостоверяющие, что СКЗИ соответствует требованиям российских государственных стандартов в области криптографической защиты, требованиям ФСБ России к шифровальными (криптографическим) средствам класса КС1 и КС2.

Механизм криптографической аутентификации сторон

Механизм криптографической аутентификации сторон обеспечивает защищенное взаимодействие через Интернет.

Обеспечение криптографической аутентификации сторон достигается применением защищенного протокола в процессе установления соединения между web-сервером банка и клиентом. Для подтверждения подлинности web-сервера выполняется сравнение доменного имени загружаемого web-сервера с указанным в сертификате.

Шифрование данных

Шифрование данных обеспечивает конфиденциальность передаваемой через Интернет информации. Шифрование информации осуществляется с помощью сессионных ключей, генерируемых на этапе установления соединения между клиентом и банковским сервером.

Мониторинг операций по переводу денежных средств.

Мониторинг операций осуществляется с использованием антифрод системы, которая в режиме реального времени осуществляет проверку платежей поступивших в систему iBank. Для надежного обнаружения факта мошенничества операции по переводу денежных средств проверяются не менее чем по 30 критериям, которые могут предоставить информацию о степени риска каждой операции. Степень риска является числовым значением соответствия операции мошеннической, в случае если операция признана высокорискованной, то она будет приостановлена на ручной контроль, доступ в iBank будет заблокирован. Для установки подлинности операции работники отдела безопасности платежных систем оперативно свяжутся с клиентом для подтверждения подлинности приостановленной операции и подтверждения разблокировки доступа к системе iBank.

Дополнительные механизмы безопасности корпоративных клиентов

• SMS-информирование о входе в систему, о поступлении в банк платежных документов, о движении средств по счетам клиентов.
• Механизм дополнительного подтверждения платежных поручений с использованием одноразовых паролей (дополнительно к ЭП). В качестве источников одноразовых паролей и кодов подтверждения используются OTP-токены.

Разработчиком системы ДБО «iBank» является АО «БИФИТ», имеющее следующие лицензии:

• Лицензия ФСБ России Рег. № 17568 Н от 22 ноября 2019 г. на осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг в области шифрования информации, технического обслуживания шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
• Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации Рег. № 1636 от 18 октября 2016 г.
• Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации Рег. № 3071 от 18 октября 2016 г.