facebook LinkedIN LinkedIN - follow
IT SYSTEM 5/2000

Zajištění bezpečnosti dat v oblasti bankovnictví a finančních služeb

Radka Švaleková [ rsvalekova (zavináč) merlin (tečka) cz ]





Možnosti elektronického obchodování s sebou přinášejí vysoké nároky na zajištění bezpečnosti dat. Vývoj informačních systémů se ubírá ke snižování nákladů společností a jejich klientů, k využitelnosti služeb a k jejich provázanosti. Budují se standardy, které budou zákazníkovi zaručovat bezpečnost při zachování maximálního pohodlí. Stále roste význam výměny informací v elektronické podobě a v této souvislosti roste také důležitost a potřeba ochrany dat uložených, zpracovávaných a distribuovaných v informačních systémech.

Zajištění bezpečnosti dat je nutné zvláště u toho typu klientely, jaký má společnost MERLIN. Tato společnost vyvíjí informační systémy pro investiční a leasingové společnosti, fondy, makléřské společnosti a banky a úspěšně buduje řešení pro elektronické obchodování na českém trhu. Příkladem je internetové uzavírání leasingových obchodů společnosti GE Capital Leasing, elektronický obchod eCity, přímé bankovnictví Expandia Banky nebo nový produkt MERLINu, TOPAS eBroker, který umožňuje on-line obchodování na Burze cenných papírů Praha a v RM-Systému.

RM systém
Příklad řešení bezpečnosti on-line obchodování na RM-Systému popisuje Jan Volhejn, vývojový ředitel společnosti MERLIN: "On-line obchodování na RM-Systému bylo prvním řešením elektronického obchodování vyvíjeným společností MERLIN. Realizovalo se již v roce 1993, kdy elektronické obchodování ještě nebylo módním hitem, a bylo postupně zdokonalováno až do roku 1997.

Východiskem v oblasti bezpečnosti byla bezpečnostní analýza, která zkoumala možné hrozby a ocenila je. Na základě této analýzy byla následně navržena a realizována opatření na ochranu proti identifikovaným závažným hrozbám. V případě on-line obchodování šlo především o opatření směřující k zajištění trvalé dostupnosti nabízených služeb, k řízení přístupu k datům na základě přístupových práv a k ochraně přenášených dat. Do systému se mohou uživatelé přihlásit na vlastní (umístěna u zákazníka) nebo ambulantní (umístěna na obchodních místech RM-S) klientské stanici. Aby se předešlo možnosti, že instalací dalšího softwaru dojde k problémům při provozu, RM-Systém poskytuje stanicím vlastní zařízení (PC), která jsou fyzicky chráněna proti záměně softwaru a neoprávněnému vkládání dat. Přenášená data jsou chráněna šifrováním, přičemž se používá obdobného postupu jako v protokolu SSL: pomocí asymetrické kryptografie se ověří identita serveru a dohodne se šifrovací klíč pro následně použitou rychlou proudovou šifru."

Expandia banka
Zabezpečení elektronického bankovnictví Expandia Banky popisuje Dalibor Lošťák, vedoucí vývoje společnosti MERLIN pro projekt Expandia Banka. Protože se EB od samého začátku specializuje na přímé bankovnictví a svým klientům umožňuje přístup prostřednictvím Internetu, byl kladen velký důraz na špičkovou úroveň bezpečnosti. Bezpečnostní systém zajišťuje důvěrnost informací, integritu a neodmítnutelnost odpovědnosti (prevence proti ztrátě schopnosti přesvědčit třetí nezávislou stranu o přímé odpovědnosti subjektu za odeslání zprávy). Vzhledem ke zvětšenému nebezpečí zneužití je třeba každou transakci samostatně autorizovat pomocí autorizačního klíče. V tomto případě byla zvolena forma externího elektronického klíče, který je zabezpečen vstupním heslem. Tento klíč zajišťuje, že v případě odposlechu nelze poslední identifikační heslo opakovaně použít a tak se neoprávněně přihlásit místo klienta. Současně umožňuje bezpečnou autorizaci příkazů. Po splnění všech vstupních autorizačních požadavků je následný přenos dat po Internetu zabezpečen prostřednictvím protokolu SSL. V případě použití speciálního softwaru pro komunikaci právnických subjektů s bankou jsou data navíc digitálně podepsána a zašifrována. Celý systém pro šifrování a podepisování zpráv pomocí asymetrické kryptografie pracuje následovně: Zpráva je na straně odesilatele nejprve digitálně podepsána a teprve podepsaná zpráva je šifrována. Na straně příjemce je zpráva nejprve dešifrována privátním klíčem příjemce, čímž je zajištěna adresnost zprávy, a teprve potom se pomocí veřejného klíče ověří identita odesilatele. Tím je zajištěna integrita dat a neodmítnutelnost odpovědnosti.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.


Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.