Оригинал материала: https://3dnews.kz/572112

Выбор виртуального банка

Многие пользователи сети слышали об интернет-банках, некоторые даже используют такие сервисы дистанционного управления своими финансами. Возможность отдать приказ о переводе денежных средств круглые сутки является доступной даже для пользователя, у которого отсутствуют специальные технические знания. Однако выбор финансово-кредитного учреждения для подключения к системе виртуального банка - не такая простая задача, как кажется: стоит учесть множество факторов - от блока доступных операций, до способа пополнения счета. К сожалению, идеальных систем, где все можно сделать виртуально, пока не так много, но на российском рынке можно найти системы, которые позволяют пользователям оперативно производить операции без посещения вечно переполненных отделений банков, а финансово-кредитным учреждениям снижать издержки, что немаловажно в условиях финансового кризиса. Но получить доступ к банку, чей филиал будет располагаться в сети, еще далеко не все - желательно выбрать надежное учреждение, с развитым функционалом виртуальной системы и серьезными средствами безопасности. Наш материал даст возможность грамотно подойти к оценке любого интернет-банка, а кроме того, будет полезен и действующим пользователям аналогичных систем для оценки функционала своего виртуального банка.

Внешний вид и подключение

В настоящее время на рынке виртуальных банковских операций активно работает примерно 30 финансово-кредитных учреждений. Основное преимущество интернет-банка - возможность круглосуточной работы, а также оперативный вывод средств через пластиковую карту, что немаловажно в наше время экономической нестабильности (ровно так спасали свои средства пользователи интернет-банков "Банк24" или "Северная Казна"). Кроме того, это быстрое проведение полностью автоматизированных, стандартных операций, экономия времени на справочных вопросах, с которыми пользователи обращаются чаще всего в call-центр банка. Традиционно системы интернет-банка очень удобны и для отслеживания операций с банковскими карточками (полная история платежей с момента активации, список планируемых транзакций, информация о торговых точках и банкоматах, в которых производилось списание средств) - любая покупка тут же отражается в выписках по счетам, что способствует повышению степени контроля со стороны клиента. К тому же, технологии дистанционного доступа снимают территориальное ограничение - позволяют совершать операции с любого компьютера и в любой точке мира, где есть доступ к сети Интернет.
 Мгновенный доступ через сеть
Виртуальный банк работает по принципу 24 часа 365 дней в году.
Современные системы интернет-банкинга для частных пользователей, в основном, представляют из себя "тонкий клиент": для выполнения большинства операций со счетом пользователю достаточно самого обычного web-браузера. Объективно это удобно - управлять своим счетом можно с любого персонального компьютера или коммуникатора, которые подключены к сети Интернет. При выборе системы интернет-банка такая архитектура будет наиболее часто встречающейся - у нее достаточно простое исполнение, хотя передача данных между компьютером пользователя и банковским сервером шифруется с помощью SSL-соединения.
 Для выбора виртуального банка стоит ознакомиться с опытом других пользователей
Во время выбора той или иной системы виртуального банка стоит заглянуть в "народный рейтинг" сайта Banki.ru - в тот, что посвящен именно интернет-банкам.
Вариацией этого способа может быть Plugin-модуль для конкретной версии web-браузера (Explorer, реже Opera или FireFox), создающий при заходе в интернт-банк дополнительную линейку инструментов в браузере, с наиболее частыми операциями для ускорения их выполнения. Конечно, в интернет-кафе инсталлировать такое ПО неудобно и совершенно бесполезно, но для постоянного использования на домашнем компьютере или мобильном ПК это может быть удобным. Несмотря на очевидные преимущества, банки используют такое дополнение редко - сказывается сложность проведения процедуры установки и настройки такого ПО у клиента: многие пользователи инстинктивно боятся устанавливать любые программы, полученные из интернета, даже при загрузке из доверенных источников (к примеру, с web-сайта банка). Существует и третий вариант, который используется в большинстве случаев, но только для ИЧП или юридических лиц - кроме полноценного "клиент-банка" прикладного ПО в виде отдельной программы может применяться Java-апплет, загружаемый в web-браузер клиента. В данном ПО обычно реализуется весь интерфейс пользователя: экранные и печатные формы документов, проверки правильности заполнения документов (как контроль на месте - к примеру, число цифр в корсчете банка, так и мгновенный запрос к БД банка о, к примеру, номере БИК), протокол защищенного взаимодействия с сервером банка, шифрование данных, взаимная аутентификация, генерация криптоключей, механизм ЭЦП клиента под финансовыми документами, обмен финансовыми документами с автоматизированными бухгалтерскими системами. Вообще, один из основных показателей исполнения интернет-банка - это дружественность его интерфейса, "легкость" загрузки web-страниц и интуитивность исполнения операций. Многие банки на своих web-сайтах предоставляют демо-вход в систему, имеет смысл изучить наиболее подходящие варианты. Градация здесь предельно широкая - к примеру, система создается на основе виртуального банка для юридических лиц, она может оказаться слишком запутанной, содержать бухгалтерские и финансовые термины, сложные таблицы, которые обычному абоненту, по большому счету, не нужны (к примеру, интерфейс "Росбанка" достаточно аскетичен и явно был переделан из разработки для юридических лиц). А ведь для активной работы сервиса недостаточно просто подключить нового пользователя к системе. Банку важно стимулировать людей проводить операции через интернет-банк, а не только просматривать счета - если система будет сложной, ожидать этого не стоит. В целом, подключение к подобным системам достаточно оперативно и происходит как самое обычное открытие банковского счета, но с некоторыми исключениями. Во-первых, имеет смысл открыть несколько счетов в банке по различным валютам (как минимум, евро, доллар, российский рубль). Для этого потребуется заявление и российский паспорт, более никаких документов банк у вас спрашивать не имеет права. Во-вторых, заключить с банком специальный договор об интернет-доступе к управлению этим счетом. Большинство коммерческих банков сделает это легко и просто, оговорив со своим клиентом правила безопасности и дав ему подписать документ, в котором будут четко сформулированы все права и обязанности сторон. Некоторые банки, к примеру, "Сбербанк", идут отдельным и совершенно фантастическим путем - к примеру, для работы в их "Электронной сберкассе" пользователь должен прописать в специальном приложении к договору каждого получателя платежа, в пользу которого он и сможет совершать платежи. Никаких платежей в свободном формате - в пользу платных информационных служб или за товар в интернет-магазине: только через внесение получателя в список собственноручно, для чего, обычно, надо отстоять большую очередь. Понятное дело, что в погоне за безопасностью ни о каком удобстве не может идти и речи. В-третьих, определиться с системой безопасности. Это будет либо карта одноразовых переменных кодов, либо карта многоразовых паролей (компьютер, при проведении операции, будет спрашивать номер пароля в произвольном порядке), либо криптоключ на флэшке, либо токен (более подробно обо всех средствах безопасности - ниже). Ну и, наконец, надо определиться с каналами доступа к своему счету - это может быть обычный телефон, доступ через компьютер или мобильный телефон. Некоторые интернет-банки, правда, для небольших экранов мобильников и коммуникаторов не оптимизированы, это стоит выяснить заранее. Кроме того, некоторые банки для входа в интернет-банк, требуют еще установить и запустить Java-машину (в стандартной поставке Windows XP она чаще всего отсутствует). Имеет смысл уточнить, есть ли услуга преднастройки пользовательского оборудования с помощью технических специалистов (как, к примеру, у сотовых операторов). В дополнение отметим, что во многих системах используются всплывающие окна и страницы, открывающиеся в отдельном окне, а также автоматическое обновление страниц. Для корректной работы подобных приложений имеет смысл убедиться в том, что эти возможности не отключены в вашем браузере. Обычно выполнение всех процедур занимает от 10-15 минут (рекорд SwedenBank, правда, это было не в России) до часа (стандартное время): к примеру, все реквизиты для входа в систему HandyBank можно получить сразу после подписания документов - в пластиковом DVD-боксе.

Безопасное управление

Организация дистанционного доступа к электронным счетам абонентов представляет собой достаточно сложную задачу для ИТ-системы банка - необходимо не только однозначно идентифицировать клиента, но и убедиться в том, что распоряжения, отдаваемые им по отношению к своему банковскому счету, исходят именно от владельца, не искажаются и не перехватываются на линии злоумышленником. Вместе с этим, необходима защита "от дурака" - специальные технические методы подтверждения распоряжений по всем выполняемым операциям.
 Защити себя сам
Залог безопасности в киберпространстве - это разумное поведение. Стоит помнить, что банк ни при каких условиях не запрашивает PIN и CVV2/CVC2 коды банковской карты клиента: данная информация не может быть запрошена банком ни по какому каналу связи, включая интернет-банк, электронную почту и телефонную связь.
Однако организация входа в систему не должна быть слишком сложной. Некоторые банки (к примеру, Citibank) в погоне за тотальной безопасностью существенно усложнили эту ежедневную процедуру своим пользователям. Вместо авторизации с помощью логина и пароля они обязали всех пользователей вводить длинные коды с помощью виртуальной flash-клавиатуры (то есть вариант со вставкой этого кода из текстового файла не проходит). Естественно, такие пароли пользователи забывают на следующий день после получения, а, в отличие от PIN-кода пластиковой карты, который можно восстановить по телефону в автоматическом режиме, для восстановления пароля от интернет-банка надо перевыпускать пластиковую карту. Ясное дело, популярности подобному сервису эта система не прибавит.
 Внешний вид авторизационной страницы
Интерфейс входа во многих системах интернет-банка оставляет желать лучшего, но эти интерфейся надежны.
Без сомнения, для обеспечения сохранности средств, размещенных в электронном банке, логина и пароля, используемых для входа в систему, недостаточно. Поэтому задача безопасного доступа разделяется на две части - заботой пользователя является установка антивирусных средств и сетевого экрана для предотвращения прорыва обороны со стороны компьютерных программ злоумышленников, заботой банка является организация защищенного соединения с сервером, которое бы гарантировало отсутствие перехвата с помощью технических средств злоумышленников. Создание средств безопасности для идентификации пользователей все время сталкивается с двумя противоположными задачами - обеспечить полную безопасность и быть простыми для пользователя. Пока существует всего четыре основных средства подтверждения клиентами своего права на управление счетом. Во-первых, это одноразовые пароли. Обычно это пластиковая карта с нанесенными числовыми рядами, каждый из которых закрыт защитным слоем и служит подтверждением только для одной банковской операции. Во-вторых, метод может быть дистанционным - на зарегистрированный в банке мобильный телефон пользователя при запросе на операцию отправляется такой же индивидуальный код, который и надо ввести в компьютер. К слову, указанный банком пароль при проведении операции надо набрать на виртуальной клавиатуре с помощью мышки.
 Практикум безопасности
Большинство банков использует Secure Sockets Layer (SSL) - протокол, который защищает данные, пересылаемые между web-браузерами и серверами. Любая страница, чей адрес начинается с https, передается в защищенном виде с помощью SSL. Буква "s", добавленная к знакомому HTTP (Hypertext Transfer Protocol), означает secure, то есть "защищенный". Значки защищенных соединений в браузерах выглядят по-разному.
В-третьих, возможно решение, в котором аутентификация производится с помощью брелока или карты с миниатюрным жидкокристаллическим дисплеем. На этом дисплее каждую минуту меняется шести-десятизначное (в зависимости от потребностей пользователя) число - фактически устройство генерирует по специальному протоколу одноразовые пароли (One Time Password). К этому значению сам пользователь добавляет известный только ему одному PIN-код, формируя окончательную комбинацию пароля. К слову, наряду с аппаратными токенами существуют и программные. Поскольку для получения токен-кода используется генератор псевдослучайных чисел, предсказать следующее значение по текущему злоумышленник не может. Таким образом, пароль для доступа к защищенному ресурсу в каждый момент времени различен и создается из двух чисел: неизменяемого PIN-кода, который помнит владелец счета, и того, что он видит на экране своего токена. В-четвертых, электронные цифровые подписи - надежный, но не очень распространенный вариант. Обычно это специальное ПО, записанное на карту памяти или флэшку, которая устанавливается в USB-порт компьютера, с которого предполагается осуществить выход в сеть Интернет. От ввода логина и пароля для доступа к виртуальному банку это не освобождает, но в дальнейшем никаких переменных кодов вводить пользователю уже не обязательно. Правда, с такой флэшкой придется обращаться как с ключами от сейфа - если потерял, то риск доступа к счету со стороны злоумышленников многократно возрастает. Отметим, что дистанционное управление счетом вполне безопасно, если клиент хранит ключи и пароли в недоступном для злоумышленников месте. От сбоев в компьютерных системах полной гарантии, конечно, нет, но процент ошибок здесь, все-таки, небольшой - если клиент не завершил операцию вводом авторизационных данных (к примеру, одноразового ключа с карты переменных кодов), то, к примеру, при сбое питания деньги не "зависнут". Преимущества подобных систем - ведение полной истории платежей; банки в любой момент времени могут отчитаться за все суммы, поступившие и отправленные со счета клиента (для этого у многих кроме простой таблицы "Приход/Расход" в электронном виде хранятся все автоматически созданные распоряжения на отправку средств). Дополнительные элементы защиты - специальные лимиты на проведение платежей, большие деньги увести "на сторону" просто так не получится.

Типовой набор сервисов

Перечень операций, которые можно выполнять в режиме дистанционного доступа к счету, обычно разделяется на "стандартный минимум" и дополнительные сервисы, пакет которых зависит даже не от специфики того или иного финансово-кредитного учреждения, а от проработанности его ИТ-инфраструктуры. Если рассмотреть отечественные и иностранные системы виртуального банка, можно отметить, что в целом они одинаковы как по исполнению, так и по количеству реализуемых услуг. Однако при выборе финансово-кредитного учреждения для виртуального банка, стоит иметь в виду, что в отечественных системах есть два принципиальных недостатка, которые, надеемся, со временем будут исправлены.
 Быстрая оплата мобильного телефона, доступа в интернет и т.д.
Разветвленная система платежей - основа виртуального банка. Провайдеры должны быть предустановлены, зачисление денежных средств - в режиме online.
Во-первых, это система внутреннего обмена информацией - пользователям российских интернет-банков, в большинстве случаев, для решения каких-либо вопросов надо звонить в call-центр или писать обычное письмо. Редко в каком интернет-банке встроенная система сообщений или чата предусмотрена по умолчанию. А вот в интерфейсе зарубежных систем (к примеру, Swedenbank) такие возможности имеются - причем специалист банка, который отвечает на вопрос, сразу видит основные показатели клиента, его кредитную историю, открытые пластиковые карты и т.д.: это существенно облегчает взаимодействие и увеличивает скорость реакции на вопросы.
 Информация по счетам
Визуальное представление счетов и платежных карт - все остатки должны быть доступны на одном экране.
Во-вторых, создание из виртуального банка не просто расчетного центра (что, без сомнения, само по себе интересно многим пользователям), а, скорее, центра интегрированных финансовых услуг, когда в едином интерфейсе пользователь получает не только доступ к своим счетам и пластиковым картам, но и к системе пенсионных накоплений, а также к системе торговле акциями отечественных и зарубежных компаний. Рассматривая функциональные возможности виртуальных банков, для начала стоит определиться с тем, насколько он сможет обеспечить выполнение самых простых и распространенных услуг в режиме online. Наряду с выписками по счетам и картам, это регулярные платежи и переводы (оплата сотовой связи, коммунальных услуг, погашение кредитов, пополнение вкладов и т.п.), а также конверсионные операции.
 Конвертация в режиме реального времени
По оперативности конвертации валюты с интернет-банком не сравнится ни один "обменник".
При этом, для любого предустановленного платежа (координаты компании-провайдера ясны, абоненту достаточно только указать, на какой электронный счет перечислить деньги) должно быть достаточно минимума данных. Например, для оплаты за мобильный телефон - только номер телефона и сумма платежа. Для оплаты за доступ в сеть Интернет - провайдер (из списка), номер аккаунта (договора), суммы.
 Быстрый доступ к истории оплат
Одно из явных преимуществ виртуального банка - логирование всех операций и возможность просмотра истории с момента заведения счета.
Фактически, интернет-банк не может считаться полноценным без блока активных операций по счету, которые позволяют пользователю мгновенно осуществить платеж. Ограниченный функционал типа просмотра выписок по банковским картам или SMS-уведомлений о проведенных транзакциях, представленный сам по себе, конечно, к интернет-банку никакого отношения не имеет - это просто фрагментарная автоматизация банковских услуг.
 Виртуальный банк функциональнее системы online-уведомления
Система автоматического информирования о тратах по платежной карте от DinersClub - функциональна, но интернет-банком не является, предоставляет только выписки о совершенных платежах.
К слову, крайне интересный сервис интернет-банков для забывчивых клиентов - автоматическая оплата кредитов и счетов за мобильную связь, ЖКУ и т.д. Для этого формируется простое расписание, где пользователь сам указывает когда, какие суммы и на чей счет отправлять. Ну, и как долго подобная инструкция банку должна действовать. Стандартным функционалом можно считать мониторинг состояния счетов в режиме реального времени, информационные услуги (платежный лимит по карте, задолженность по кредиту, размер и сроки очередного платежа по кредиту, выписка по счету), а также платежи сторонним организациям (в т.ч. и за рубеж) и пользователям этой же системы в банке (мгновенный перевод средств в данном случае).
 Заплатить штраф ГИБДД через интернет-банк пока сложно
Полноценная база расчетных счетов для платежей в адрес органов госвласти есть далеко не у всех банков, но многие выделяют "госплатежи" в отдельную категорию операций и модифицируют платежную форму для таких получателей.
Дополнительный функционал - это ограниченно востребованные клиентами операции. К примеру, возможность быстрого пополнения электронных кошельков в различных платежных системах (таких как WebMoney и "Яндекс.Деньги"). Кроме того, на специальных форумах имеет смысл посмотреть рейтинги интернет-банков для понимания наиболее "проблемных" мест использования таких систем, особенно в части получения оперативной помощи от сотрудников банка. Желательно, чтобы на каждой странице интернет-банка была доступна контактная информация о телефоне и почте центра обработки вызовов. Кроме того, крайне желательно наличие операторской службы с расширенным рабочим временем - как минимум с 9 до 21 часа. Поможет и список часто задаваемых вопросов, пошаговые инструкции об использовании системы со скриншотами.

Особенности пополнения счетов

Ключевой момент для интернет-банка в России - доступность различных вариантов пополнения электронных счетов клиентов. Поскольку "черную" и "серую" зарплату искоренить полностью не получается, клиентам необходимо предоставить несколько достаточно распространенных возможностей для перевода денег на счет, причем большинство из них должно быть автоматизировано. По сути, только возможность быстрого ввода наличных денег на электронный счет существенно увеличивает шансы интернет-банка стать массовым явлением. Кроме расширения сети банкоматов с функцией приема наличности (cash-in), перспективным является использование для этой цели терминалов экспресс-оплаты. Жители современных мегаполисов уже давно живут в состоянии постоянной нехватки времени, и доступность сервиса - один из главных факторов, определяющих его популярность. Владельцы терминалов моментальной оплаты нашли подход к массовой аудитории, поставив свои аппараты в местах с высокой посещаемостью. При этом надежность и безопасность транзакций по пополнению счета в терминале ничуть не ниже. Правда, с пользователя возьмут до 2-3% за пополнение счета, да и система зачисления часто "тормозит" (от взноса средств до зачисления их на карту проходит до 3-4 рабочих дней), но это удобная альтернатива почтовым переводам, позволяющая, например, пополнить платежные карты родственников, которые находятся за рубежом. Периодические опросы пользователей, проводимые аналитиками и банковскими учреждениями, показывают, что наиболее распространенный способ пополнения счетов респондентов реализуется в рамках зарплатных проектов (средства перечисляются бухгалтерией непосредственно на карточные счета сотрудников компании). На втором месте обычно - пополнение непосредственно через кассу банка или cash-ih банкоматов, хотя распространенность таких устройств, особенно в регионах, крайне невелика. Еще один значительный канал поступления средств - банковские переводы из другого финансово-кредитного учреждения (недостатками этого способа являются долгое время проведения платежа, а также определенная комиссия за данную операцию). Электронные платежные системы занимают почетное четвертое место - видимо, сказывается работа банков по созданию сети шлюзов с такими сервисами.

Функционал завтрашнего дня

После исследования функционала того или иного виртуального банка, имеет смысл поинтересоваться перспективами его развития. Дело в том, что совершенствование сервисов, доступных в виртуальном банке, показывает интерес руководства банка к развитию подобных систем финансово-кредитного учреждения. Главная цель таких совершенствований - интегрировать все возможности в интерфейс интернет-банка для того, чтобы клиенту не надо было каждый раз вводить свои паспортные данные, а, к примеру, у кредитного эксперта сразу была перед глазами картина состояния счета клиента - дело будущего. К сожалению, предоставление потребительских кредитов через сеть (для уже существующих клиентов), а также гибкое управление лимитом их кредитных карт отложено до будущего времени в связи с финансовым кризисом, а совсем не отсутствием готовности у ИТ-систем российских банков. Многие ведущие игроки рынка в самое ближайшее время займутся, в основном, совершенствованием своих интегрированных систем поддержки клиентов, которые будут включать в себя как функции интернет-банкинга, мобильного банкинга и call-центра, так и банковский сайт и сеть информационных терминалов самообслуживания. Фактически, пользователям будут создаваться условия для удобного проведения платежей (с тем, чтобы они не обналичивали все деньги в рамках зарплатных проектов) и быстрого взноса средств на электронные счета. Развиваться, очевидно, будут и еще три направления виртуальных услуг. Во-первых, это интеграция между различными типами доступа. У пользователей будет возможность формировать собственный список платежей в системе интернет-банкинга и переносить этот список в систему мобильного банкинга. Тогда на смартфоне или коммуникаторе достаточно будет указать только номер операции (например, по оплате услуг ЖКХ) и сумму транзакции. Во-вторых, это блок транзакций под общим названием "Госплатежи", с помощью которых можно будет перечислить средства в государственные органы. Такие возможности, отметим, интересны и нужны примерно трети пользователей. Готовые шаблоны с реквизитами для оплаты штрафов ГИБДД есть у весьма небольшого числа российских банков, но ввести такой сервис планируют и другие финансово-кредитные учреждения. Практически всем жителям страны хоть раз, да необходимо осуществить платеж в пользу государственных и муниципальных структур, в том числе по уплате налогов за дом, дачу, квартиру, машину и т.п. Именно поэтому такой сервис набирает популярность у клиентов интернет-банков и имеет большой потенциал для развития. В-третьих, это связь с другими популярными сервисами. К примеру, можно ожидать подключения к виртуальным банкам системы бронирования билетов с оплатой с текущего счета, а не пластиковой карты, как это организуется в большинстве подобных систем. Как вариант, для усиления системы безопасности - возможность генерации данных виртуальных пластиковых карт краткосрочного действия на 2-3 платежа или 1-5 дней действия (с заранее установленными пользователем лимитами расходов). Весьма полезная новация, особенно учитывая широкое распространение электронных билетов. За такой билет можно заплатить, не "засвечивая" в защищенной, но все-таки сторонней системе свою пластиковую карту, а полученный штрих-код с данными рейса распечатать на принтере, после чего отправляться прямо в аэропорт, либо к специальному терминалу на вокзале для получения бумажной копии железнодорожного билета.
- Обсудить материал в конференции




Оригинал материала: https://3dnews.kz/572112