НадПроф > Что такое «БАНК-КЛИЕНТ»

НадПроф > Что такое «БАНК-КЛИЕНТ» Электронная цифровая подпись
На чтение 18 мин. Просмотров 127 Опубликовано
Содержание
  1. Надпроф > что такое «банк-клиент»
  2. Банк-клиент
  3. Без отрыва от стула
  4. Безопасность
  5. История номер два
  6. Клиент — банк «возрождение»
  7. Не клиентом единым
  8. Разделение прав пользователей
  9. Рекомендации по мерам безопасности
  10. Три преимущества системы «клиент-банк»
  11. Финиш
  12. Функции

Надпроф > что такое «банк-клиент»

Главная / ШКОЛА НАДПРОФ / Что такое «БАНК-КЛИЕНТ»

Расскажу о наиболее удобном и оперативном способе банковского обслуживания, который вы можете использовать в бухгалтерско-финансовой деятельности вашей компании. Речь идёт об использовании электронной системы удаленного доступа «Банк-Клиент». Эта система позволит осуществлять связь с банком по различным каналам связи, включая телефонные коммутируемые или выделенные линии.

«Банк-Клиент» — это система пересылки электронных документов по каналам телефонной связи. С ее помощью бухгалтер вашей компании будет проводить основные банковские операции и получать необходимую информацию по имеющимся банковским счетам, не выходя из офиса. Вы сможете проводить платёжные документы, выписки, справки и другие документы из офиса вашей компании, не будучи даже зависимыми от присутствия в офисе руководителя и главного бухгалтера для получения подписи на бумажных банковских документах, так как система «Банк-Клиент» использует электронные подписи.

«Банк-Клиент» — самый быстрый и комфортный способ передачи документов в банк. Многим знакома такая ситуация в компаниях (часто даже ежедневная), когда отсутствие бухгалтера на своём рабочем месте из-за поездки в банк приводит к «застопориванию» выписки текущих бухгалтерских документов или не получения нужной бухгалтерской информации в данный момент времени. «Нужно подождать, когда наш бухгалтер вернётся из банка» — можно часто услышать в любой компании. При использовании «Банка-Клиента» эта ситуация разрешается самым благоприятным образом.

Также преимуществами использования системы «Банк-Клиент» являются:

  • сокращение объёма бумажных документов и бумажной работы;
  • экономия рабочего времени;
  • оперативное получение информации о состоянии банковских счетов в самые первые рабочие часы и, соответственно, оперативное принятие решений оплаты имеющихся долговых обязательств;
  • эффективный способ управления своими денежными средствами;
  • удобное и простое в использовании программное обеспечение;
  • передача документов в банк в круглосуточном режиме;
  • линия технической поддержки со стороны банка по телефону;
  • автоматическая проверка правильности заполнения документов.

Система «Банк-Клиент» имеет удобный и настраиваемый интерфейс, содержит инструкции по пользованию, имеет многоуровневую систему защиты электронных подписей. Как правило, у любого банка уже создана техническая совместимость программы со всеми принтерами и модемами, поддерживаемыми Windows.

Многие банки предоставляют такую услугу, как обмен документов по сети Интернет, а также сокращённые варианты электронного обслуживания: предоставление информации о движении средств на банковских счетах в виде справки на пейджер банковского клиента или его Е-mail.

Система «Банк — Клиент» нетребовательна в отношении технических средств. Для ее нормального функционирования, как правило, вполне достаточно компьютера класса Pentium 166, до 16 Мб оперативной памяти, до 150 Мб свободного места на жестком диске и аппаратного модема (или доступа в Интернет).

Система «Банк-Клиент» взаимодействует с установленными используемыми бухгалтерскими системами. Например, в нашей компании используется автоматизированная система бухгалтерского учёта «1С-Предприятие» и мы производим формирование платежных документов в 1С, затем импортируем документы в «Банк-Клиент», где происходит их автоматическое копирование. Выписки из системы «Банка-Клиента» мы также экспортируем в 1С, где происходит автоматическое формирование бухгалтерских проводок. Очень удобно и эффективно по затраченному времени, если учесть количество ежедневно обрабатываемых нами принятых и отправленных документов.

Все конкретные подробности о технических условиях, стоимости системы «Банк-Клиент» и стоимости её обслуживания, предоставляемых дополнительных услугах Вам нужно узнать у своего обслуживающего банка, так как у каждого банка есть свои особенности разработки системы, например, наша компания использует систему «Клиент-Сбербанк».

Терминология:

“Автоматизированная система «Клиент-Банк» — информационная система, включающая в себя совокупность программно-аппаратных средств, устанавливаемых у клиента Банка и у Банка с целью обеспечения подготовки, защиты, отправки, приёма, проверки и обработки документов в электронном виде.

«Электронный документ» — электронный образ документа (расчетного или иного), представленный в определённом формате, определяемом программными средствами создания документа.

«Электронная цифровая подпись — ЭЦП» — контрольное значение электронного документа, предназначенное для защиты его от подделки, полученное в результате криптографического преобразования информации с использованием конфиденциального ключа электронной цифровой подписи и позволяющее идентифицировать владельца ключа подписи, а также установить отсутствие искажения информации в электронном документе.

«Электронный расчётный документ» — электронный документ, защищённый корректной ЭЦП, являющийся основанием для совершения Банком операций по банковскому счёту клиента Банка.

«Владелец ключа ЭЦП» — клиент Банка, сформировавший (выработавший) конфиденциальный и открытый ключи ЭЦП, заверивший открытый ключ на бумажном носителе собственноручной подписью руководителя и оттиском печати и передавший данный бумажный носитель Банку.

«Корректная ЭЦП» — ЭЦП, дающая положительный результат её проверки средствами Системы.

Света Чайка
5558882004@mail.ru

Упрощенная система налогообложения
Библиотека документов

Банк-клиент

В век высоких технологий глупо работать с бумажками, ходить в банк, чтобыподписывать их, и делать таким образом денежные переводы партнерам по бизнесу.Средние по размеру фирмы в день могут проводить от трех до сотни таких операций,поэтому неудивительно, что все это делается через интернет.

Как это работает: банк устанавливает у себя ПО, работающее с БД, где можнорулить деньгами на счетах. Кроме этого ставится сервер с доступом в инет. Любойклиент может использовать этот сервис (предварительно пройдя аутентификацию),чтобы получить доступ к своему счету и отправить деньги куда угодно.

Отправкаденег выглядит как забивка текста в специальные формы — там указываетсяполучатель перевода (счет, ИНН и т.д.), с какой целью и сколько, собственно,денег отправляется и еще много чего подобного. Это называется “платежноепоручение”.

Далее операционист банка (сотрудник) просматривает все накопившиесяплатежные поручения и жмет кнопку “ОК”, после чего ПО снимает деньги со счетапользователя в БД и формирует файл/запись в БД/иное указание для банка, кудаотправляются деньги.

Читайте также:  криптопро apm лицензия

Тут в дело вступает наше законодательство и правила Центробанка (самыйглавный банк страны). В частности, при работе с юридическими лицами (фирмы,компании, корпорации и т.д.) требуется, чтобы платежные поручения были завереныцифровой подписью. Но не простой, а единственно правильной — на ГОСТ’овскомалгоритме.

Без отрыва от стула

Именно так осуществляются операции с помощью системы удаленного банковского обслуживания «Клиент-Банк». Все платежки — по электронной почте, со своего рабочего места. Выписки — тоже. Вот только зарплату приходится получать по-старому — ездить в банк за наличностью. Хотя можно и на карточку перечислять.

Систему «Клиент-Банк» нельзя назвать новинкой — эту услугу банки предоставляют уже в течение 6-7 лет. По оценкам самих банкиров, за это время на систему перешло около 20% клиентов. Потенциальных пользователей условно можно поделить на две категории.

Первая — региональные предприятия, не имеющие возможности постоянно ездить в банк, хотя бы потому, что они удалены от него. Вторая — предприятия, расположенные в крупных городах, но осуществляющие очень много оперативных платежей.

«Клиент-Банк» дает возможность не только своевременно проводить платежи, но и порой экономить. Ведь у отечественных банков разная ценовая политика (см. «Что говорят банкиры о системе «Клиент-Банк»). Некоторые не берут плату за установление программного обеспечения, другие при переходе клиента на систему «Клиент-Банк» освобождают его от платы за обслуживание.

Нет единодушного подхода и к собственно программному обеспечению. При том, что все же подавляющее большинство отечественных банков покупает программное обеспечение «Клиент-Банка» у разработчиков, некоторые сами разрабатывают свои системы.

Кстати, именно эти банки уже сегодня пытаются расширить сервис для клиентов. Создается Интернет-банкинг. Эта услуга позволит бухгалтерам осуществлять платежи без установления отдельного канала связи с банком и без платы за его обслуживание.

Безопасность

«iBank 2» – это надежная и безопасная система дистанционного распоряжения счетом, использующая технологию работы через Интернет. Все операции, проводимые через систему, имеют несколько степеней защиты.

В «iBank 2» используется система криптозащиты, построенная на основе международно-признанного протокола SSL, обеспечивается шифрование персональных данных пользователей системы с использованием сертифицированных ФСБ России криптографических библиотек.

Обеспечение подлинности и достоверности передаваемой в Банк информаци достигается использованием в системе средств электронной подписи.

Для защиты ключей электронной подписи от хищения вредоносными программами в нашем банке клиентам предоставляется персональный аппаратный криптопровайдер (ПАК) — USB-токен «Рутокен ЭЦП 2.0»ю

Главным достоинством USB-токена «Рутокен ЭЦП 2.0», является то, что ключ электронной подписи генерируется самим устройством, хранится в защищенной памяти устройства и никогда, никем и ни при каких условиях не может быть считан во внешнюю среду.

Формирование электронной подписи клиента осуществляется по российскому криптографическому алгоритму ГОСТ Р 34.10-2021 непосредственно внутри самого устройства.

Для защиты от продвинутых угроз, связанных с установлением злоумышленником контроля над пользовательским компьютером, Банк предлагает на бесплатной основе подключить услугу подтверждения платежа с использованием одноразовых паролей.

В этом случае после подписания платежного поручения необходимым количеством электронных подписей и при превышении пороговой суммы документ переходит в статус «Требует подтверждения». Для доставки в банк такого документа необходимо ввести одноразовый пароль.

Для получения одноразовых паролей может использоваться SMS (рекомендуемый нами вариант). Информацию по порядку подключения и использования услуги SMS-подтверждения платежей вы найдете в инструкции по SMS-подтверждению платежей.

История номер два

В небольшой компании бухгалтер сам отправляет платежки. Он любит это делать сноута, а также этот ноут он использует как домашний и рабочий компьютер.Однажды, проверяя почту, он увидел письмо, в котором говорилось, что они что-тотам не уплатили по счету некой строительной компании.

И вроде да… недавно оничто-то заказывали по ремонту, но наш герой уже не помнит деталей. Письмосоставлено нормально, нигде нет ничего палевного, что и логично, автор письмазнаком с основами СИ. Так вот, бухгалтеру нашему надо вспомнить, что это застроительная компания такая, а то подозрительно как-то.

О, да тут в письме, вподписи, есть линк на сайт компании… Дальше все понятно, exploit-pack, AcrobatReader, спец-троян для БК. Дальше история может быть аналогична предыдущей.Социальная инженерия, отсутствие патч-менеджмента и отсутствие правилбезопасности и простейших политик.

Поясню: в больших компаниях происходит так много различных операций сосчетами, что за всем сложно уследить. Поэтому автоматизация процесса выглядиттак. Каждый отдел что-то покупает, что-то заказывает и что-то оплачивает. У негоесть доступ к ERP-системе (ну или 1C, для России актуальнее), где он (работникотдела) обозначает, что ем у (как обычно, по работе) надо докупить, например,туалетной бумаги на 700 тысяч рублей.

В другом отделе оплачивают аутсорсингкомпании, которая занималась ИБ, в третьем считают что-то еще. И у каждогоответственного работника своя учетная запись в системе, где он по  своемуроду деятельности выполняет различные действия. Все это хранится в БД,проверяется бухгалтером или еще кем-то, и затем скидывается, например, в обычныйтекстовый файл на расшаренном ресурсе.

Читайте также:  Инструкция по генерации ключа электронной подписи и установки сертификата ключа проверки электронной подписи Содержание

Работники отдела, где занимаются работойс банк-клиентами, просто открывают этот текстовый файл и построчно выполняютпереводы в системе БК. Это, опять же, упрощенная схема, но если нет должноговнимания к самому слабому звену — БД и расшаренному ресурсу, то ничего не мешаетдобавить в этот текстовый файл или БД еще одну-две строчки :).

Клиент — банк «возрождение»

Система «Клиент-Банк» позволяет контролировать банковские счета Вашей компании, обмениваться электронными документами с банком, осуществлять операции со счетами, не покидая рабочего места. Вам больше не придется ездить в банк, чтобы получить выписку или отвезти платежные поручения.

В зависимости от специфики бизнеса клиента банк «Возрождение» предлагает индивидуальные разновидности системы:

Клиент-Банк «Классический». Программа устанавливается на один компьютер в офисе, с которого будет осуществляться управление Вашими счетами. Прекрасно подходит для небольших организаций с простой организацией бухгалтерии и небольшим количеством управляющего персонала. Позволяет работать как с использованием модемной связи, так и через e-mail.

Клиент-Банк «Офис». Сетевая версия программы, необходимая для распределения рабочих мест бухгалтера, генерального директора и других лиц, ответственных за работу с банком и имеющих право подписи.

Клиент-Банк «Мультиклиент». Программа позволяет работать с банковскими счетами нескольких организаций с одного рабочего места, при условии что физическое лицо — владелец USB-ключа eToken PRO является полномочным представителем для данных организаций.

Клиент-Банк «Корпоративный Контроль». Идеально подходит для холдингов и корпораций с распределенной структурой дочерних организаций, когда необходимо контролировать несколько счетов: получать выписки, акцептовать платежи и многое другое.

Электронные документы (далее ЭД), передаваемые со стороны Клиента, могут включать:

  1. платежное поручение;
  2. поручение на перевод валюты;
  3. поручение на покупку валюты;
  4. поручение на продажу валюты;
  5. поручение на покупку одной валюты за другую иностранную валюту (конверсия валюты);
  6. поручение на списание валюты с транзитного счета;
  7. справка о валютных операциях;
  8. запрос выписки по лицевому счету;
  9. запрос на отзыв документа;
  10. произвольные документы (письма в банк).

Электронные документы, передаваемые со стороны банка, могут включать:

  • выписки по лицевому счету;
  • подтверждение получения ЭД Клиента;
  • подтверждение исполнения ЭД Клиента;
  • справочник курсов валют;
  • справочник Российских банков;
  • справочник банки мира;
  • произвольные документы (письма Клиенту).

Не клиентом единым

К слову, ломать могут не только клиентов, но и сам банк. Казалось бы, этонереально, но тут есть, где развернуться — последний опыт пен-тестов показал,что нашим разработчикам систем есть куда развиваться. В разное время и в разныхсистемах был найден классический набор ошибок:

XSS-, SQL-инъекции, логическиеошибки доступа, отсутствие шифрования критичных данных и т.д., и т.п. Примерывекторов атак при этом могут быть разными, но основа все-таки почти всегдаполу-инсайдерская. Дело в том, что если у тебя уже есть доступ к БК, то есть,фактически, ты — клиент банка, то возможностей по взлому самого банка у тебя напорядок больше, нежели ты был бы простым внешним пользователем.

Мой любимыйпример логической ошибки: хочешь ты перевести рубли в доллары, БК предоставляеттакой функционал, у тебя, соответственно, два счета — валютный и наш,деревянный. Скрипт перевода выглядит так: на вход сумма в рублях и валюта. Навыходе — сумма в рублях, текущий курс, сумма в долларах и хеш.

Послеподтверждения пользователем, что он согласен на перевод, это все кидается втретий скрипт, который проверяет хеш (это от CSRF) и обрабатывает ввод, делаяupdate в БД. Так вот, на втором шаге можно изменить курс доллара на болеевыгодный, а второй скрипт уже не проверяет курс… Это пример логической ошибки.Описывать SQL-инъекции и XSS не смысла — все уже знакомы с таким видом дырок…

Разделение прав пользователей

Разделение прав пользователей «iBank 2» — удобная форма распределения доступа к системе.

«Право первой подписи» — дает возможность проведения любых операций в системе, право подписания платежных и официальных документов первой подписью. Это право предоставляется сотруднику компании клиента, либо управляющему, который осуществляет функции единоличного исполнительного органа.

«Право второй подписи» — дает возможность проводить любые операции в системе, право подписания платежных и официальных документов второй подписью. Это право предоставляется сотруднику компании клиента, которому доверено право вести бухгалтерский учет.

«Оператор» — дает возможность просматривать некоторую информацию по счетам клиента и создавать электронные документы, не обладает правом подписи.

Роль оператора предназначена исключительно для:

  • просмотра и выгрузки в Excel выписок по счетам клиента в системе;
  • просмотра информации об остатках и движении по счетам клиента в системе;
  • просмотра исходящих документов клиента и их статусов;
  • создания электронных документов «заявка на получение наличных средств» и «письмо», а также подписания указанных электронных документов подписью от имени клиента;
  • создания платежных поручений и иных электронных документов клиента без права их подписи.

Рекомендации по мерам безопасности

Мы заботимся о безопасности проведенных вами операций в системе «Клиент-Банк» и настоятельно рекомендуем соблюдать следующие правила:

  1. Строго соблюдайте и поддерживайте в актуальном состоянии свои внутренние правила инф. безопасности, регламент доступа к компьютерам для работы в системе «Клиент-Банк» и работы с секретными ключами ЭЦП
  2. Используйте и оперативно обновляйте лицензионное системное и прикладное программное обеспечение
  3. Используйте и оперативно обновляйте антивирусное программное обеспечение, межсетевой экран (Firewall), и другие средства защиты
  4. Соблюдайте правила информационной безопасности при работе в Интернете, к примеру: не посещайте подозрительные сайты, не устанавливайте программы из непроверенных источников, не открывайте файлы от неизвестных отправителей
  5. Не оставляйте без необходимости временно не используемый носитель с криптоключами, подключенный к рабочему месту системы «Клиент-Банк»
  6. Для обеспечения безопасности рекомендуется использовать парольную защиту либо другие средства предотвращения несанкционированного доступа
  7. По возможности необходимо разделить и разграничить полномочия по созданию, подписи и оправке документов посредством системы «Клиент-Банк», между несколькими сотрудниками
  8. Не рекомендуется использовать рабочие места «Клиент-Банк» для целей, не связанных с приемом и отправкой платежей, для доступа к ресурсам сети Интернет, для установки программ IP-телефонии (Skype), для установки программ мгновенного обмена сообщениями (ICQ) и других потенциально опасных, с точки зрения Информационной Безопасности, компьютерных программ и приложений
Читайте также:  Инструкция - Подписываем документ PDF с помощью ЭЦП (электронно цифровая подпись)

При любых подозрениях на кражу ваших электронных ключей или нестандартного поведения системы немедленно обращайтесь в Локо-Банк.

Три преимущества системы «клиент-банк»

Во-первых, удобство. Ведь в «Клиент-Банке» автоматизирована подготовка таких документов, как платежное поручение, мемориальный ордер, заявка на перевод валюты. Вид электронных документов, отраженных в интерфейсе пользователя, максимально приближен к бумажным, что значительно упрощает пользование системой.

Во-вторых, оперативность. При пользовании «Клиент-Банком» увеличивается скорость прохождения платежей (если операционист банка подтверждает электронный документ клиента сразу при его поступлении в банк).

Высокая оперативность обусловлена тем, что, как указывалось выше, платежное поручение в электронном виде готовится один раз, причем это делает не операционист банка, а работник предприятия.

Кроме того, не нужно готовить первичные платежные документы на бумажных носителях. Вместо них раз в неделю готовится реестр электронных документов. Понятно, что отпадает необходимость в ежедневных визитах в банк для проведения безналичных платежей. Это экономит время и средства.

В-третьих, мобильность. Пользование «Клиент-Банком» делает общение с банком неограниченным во времени, поскольку технические возможности большинства программных комплексов позволяют круглосуточно отправлять документы в банк и просматривать полученные оттуда.

Средства информационной безопасности современных систем «Клиент-Банк» при корректном их использовании гарантируют надежную защиту системы от несанкционированного доступа и модификации информации, передаваемой по телефонным каналам связи.

Финиш

Каковы же правила выживания? Да просты они, как и всегда, многое ужепрозвучало и не один раз в тексте статьи, многое итак очевидно, но кое-что и неособо, так что я соберу все в одном абзаце.

  1. Сегментация — компы с БК в отдельной подсетке;
  2. Политика пользования — должны быть правила по работе с этими ПК;
  3. Антивирусная защита;
  4. Ключевая политика — использование USB-тoken’ов и правила их
    использования также важны — не оставлять токен все время в системнике — это
    приводит к хищению денег!
  5. Парольная политика — разные юзеры — разные сложные пароли и все в
    таком духе;
  6. ПК, его софт, процессы и порты должны быть обоснованы для
    использования. Все лишнее — в топку;
  7. Фильтрация доступа на сетевом уровне — с БК машин могут ходить
    только на IP банков и на определенные порты, входящий трафик запрещен
    (динамическая фильтрация входящих пакетов);
  8. Патч-менеджмент;
  9. Аудит — важный шаг, чтобы понять, можно ли в БД или в выгрузочном
    файле подсунуть платежку. БД тут — вообще тонкий момент;
  10. Проверка внешнего периметра;
  11.  — проверка, что локальная БД не светится в локалку, нет
    паролей по умолчанию.

Для банков я ничего писать не буду, они там сами умные — разберутся, в любомслучае всегда страдает пользователь, поэтому он должен сам беспокоиться о своемБК, ключах, паролях и безопасности. Не было сказано про интернет и мобильныеклиенты, а также АТМ-клиенты, но для первых двух атаки почти идентичны, заисключением некоторых деталей, а АТМ-клиент — совсем другая история.

Функции

Основной функцией «Клиент-Банка» является предоставление возможности предприятию проводить платежи со своего текущего счета в банке, не посещая банк, из офиса предприятия.

https://www.youtube.com/watch?v=zdiF0uU7pZw

Кроме того, «Клиент-Банк» позволяет:

  1. осуществлять мониторинг денежных средств на текущем счете. То есть уполномоченный работник предприятия (как правило, это лица, наделенные правом первой и второй подписи на платежных документах) может, не посещая банк, контролировать движение средств на текущем счете, выяснять личность плательщика и назначение платежа. Благодаря этому можно, к примеру, оперативно отгружать продукцию потребителям по факту ее оплаты;
  2. получать выписки с текущего счета;
  3. получать от банка ежедневные официальные курсы иностранных валют, используемых при бухучете операций;
  4. вести справочник своих контрагентов по платежам и справочник назначения платежа. Эти справочники позволяют значительно быстрее формировать платежные документы, поскольку отпадает необходимость вновь заносить информацию в каждый документ — готовый шаблон переносится в платежный документ из справочников;
  5. получать от обслуживающего банка уведомления о новых банковских услугах, текущих процентных ставках по кредитам и депозитам, другую информацию, которую банк считает нужным оперативно доводить до клиентов. Возможно и обращение клиента к обслуживающему банку. Эта функция позволяет предприятию и банку оперативно обмениваться информацией.
Оцените статью
ЭЦП Эксперт
Добавить комментарий

© 2023 ЭЦП Эксперт