Jednou z variant řešení zabezpečení mobilních transakcí jsou technická řešení, která využívají technologii elektronického podpisu (EP). EP je ověřenou, stále se rozvíjející technologií pracující s řadou kryptografických funkcí zajišťujících vysokou bezpečnost.
Standardizace a podpora elektronického podpisu pokročila natolik, že jeho používání je v ČR upraveno legislativně a umožňuje nám elektronicky komunikovat s orgány veřejné moci. Nově byl také přijat jednotný evropský legislativní rámec, který by měl zajistit interoperabilitu EP na úrovni členských států EU.

Nejvýznamnějším přínosem použití EP je především zajištění jednoznačné prokazatelnosti provedených operací či transakcí, jež lze doložit i zpětně. Neméně významná je také integrita dat, kterou je možné díky použití EP zajistit. Z těchto důvodů je praktická implementace EP nejvíce zastoupena ve finančním sektoru a technologických řešeních mobilních operátorů a velkých firem, používajících elektronickou komunikaci v rozsáhlých projektech (např. elektronické bankovnictví, elektronické aukce komodit, dodavatelsko-odběratelské systémy).

Elektronický podpis v bankovních službách

V bankovnictví mezi operace vyžadující autorizaci patří především podávání platebních příkazů a požadavky na změny parametrů služeb nebo smluv. Trendem smartbankingových aplikací je snaha většinu těchto operací realizovat přímo prostřednictvím smartphone a mobilních zařízení, kde lze požadavek zadat, elektronicky podepsat a odeslat ke zpracování.

Technické řešení I.CA MobileSign využívá technologii EP a nevyžaduje dodatečné hardwarové vybavení. Klient využívá speciální aplikaci (I.CA MobileSign) v mobilním telefonu, kterou komunikuje s bankou prostřednictvím informačního systému I.CA. Na straně banky je pak naimplementováno bezpečné rozhraní pro odesílání a přijímání klientských požadavků. V případě využití přístupu k informačnímu systému I.CA prostřednictvím web services, není třeba žádné rozhraní na straně banky implementovat.

Velmi zajímavou implementací tohoto řešení, kterou jsme realizovali v loňském roce v bankovním sektoru je využití I.CA MobileSign pro privátní klienty, kdy požadavky k autorizaci připravuje v bankovním systému privátní bankéř, který je klientovi zasílá do smartphone ke kontrole a autorizaci. Klient pouze provede kontrolu požadavku na svém zařízení a v případě souhlasu opatří požadavek EP a odešle. Autorizovaný požadavek může osobní bankéř ihned realizovat.



I.CA MobileSign lze použít v mobilním zařízení také jako náhradu používání OTP (One time password) nebo autorizace autorizačními SMS, na kterém je mnoho systémů v současnosti založeno. Využívání OTP sebou přináší zvýšené náklady na vydávání a správu OTP generátorů a je uživatelsky nekomfortní. V případě autorizačních SMS jsou značnou nevýhodou náklady hrazené operátorům za zasílání SMS, vysoká chybovost při přepisu a opět nízký komfort.

Využití EP zde pak funguje tak, že klient v aplikaci elektronického bankovnictví na svém PC vytvoří např. příkaz k úhradě, u kterého je vyžadována jeho autorizace. Po odeslání požadavku do banky klient obdrží díky speciální aplikaci ve smartphone požadavek na autorizaci této transakce. Má možnost transakci zkontrolovat a následně buď potvrdit, nebo odmítnout. Autorizace je realizována elektronickým podpisem požadavku a odeslána. Informace o autorizované transakci je zobrazena v aplikaci elektronického bankovnictví na PC, kde byla zadána.