DirectBank
DirectBank copied to clipboard
1C-Company
382-П. Информация об устройствах (п.2.6.3)
Добрый день. Как со стороны 1С решается следующее требование ЦБ РФ о необходимости собирать информацию об устройствах пользователя? Сейчас такая информация не передается в сообщениях, а получить ее на стороне банка нельзя. Планируется ли дорабатывать формат?
Ниже выдержки из НПА. 382-П, п. 2.6.3:
«2.6.3. При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают: … - регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения. Регистрации в соответствии с абзацем одиннадцатым настоящего подпункта подлежит следующая информация о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения:…
идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления переводов денежных средств, которой в зависимости от технической возможности является IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства (далее - идентификатор устройства)."
Кроме того, в новых Методических рекомендациях по ПОД/ФТ(№18 от 21.07.2017) в п. 2 тоже есть указание на необходимость сбора информации об устройствах клиентов, на основе которой уже требуются отчеты об анализе совпадающих параметров устройств тех клиентов, которым уже закрыли счет по требованиям финансового мониторинга:
– обязанность кредитных организаций располагать идентификационной информацией об устройстве, которой в зависимости от технической возможности является IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства (далее - идентификатор устройства), с которого клиент получает доступ к автоматизированной системе, программному обеспечению с целью осуществления переводов денежных средств.
Добрый день. 382-П не относится к DirectBank. Положение устанавливает требования, в соответствии с которыми операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обеспечивают защиту информации при осуществлении переводов денежных средств….
Добрый день! А 1С и есть "операторы услуг платежной инфраструктуры обеспечивают защиту информации при осуществлении переводов денежных средств….". И к тому же 382-П напрямую относится к банкам, которые используют DirectBank, и вынуждены выполнять п.2.6.3 в части сбора информации об устройствах.
Функции оператора платежной системы осуществляет организация, подавшая в Банк России заявление о присвоении ей указанного статуса. И к нам относится скорее это: 2.10.3. Распоряжение клиента, … в электронном виде может быть удостоверено электронной подписью, а также в соответствии с пунктом 3 статьи 847 Гражданского кодекса Российской Федерации (Собрание законодательства Российской Федерации, 1996, N 5, ст. 410) аналогами собственноручной подписи, кодами, паролями и иными средствами, позволяющими подтвердить составление распоряжения уполномоченным на это лицом.
А какую информацию об устройстве вам хотелось бы получать?
Добрый день. Нас на текущий момент интересуют MAC и IP устройства, с которого работает пользователь. Если будет решено доработать формат DirectBank в этом направлении, отпишитесь в этой ветке, пожалуйста.
К скольким сетям подключен компьютер - столько будет разных IP, сколько у него сетевых карт - столько разных MAC. Если база клиент серверная, то данные отправляются с сервера, а не с компьютера пользователя. У сервера будет еще один набор IP и MAC. Как определить какой адрес нужно отправить из этого набора?
@BSSAnalytics добрый день. А вы не смотрели в сторону реализации обмена через внешнюю компоненту - ВК? ВК по сути это нативный исполняемый модуль (dll/so) который запускается на системе конечного пользователя. Благодаря этому вы получаете возможность собирать интересующую вас информцию и отправлять вместе с электронными документами на сервер.
Интересуют адреса устройства, с которого работает клиент. Если у клиента несколько сетевых интерфейсов, то можно получать все адреса. У нас сейчас сделано так. Если база клиент-серверная, то интересует устройство, с которого работает клиент (ПК, планшет, коммуникатор). Да, все эти адреса изменяемые, не уникальны и не гарантируют однозначного определения устройства, но таково требование положения. Полагаю, в совокупности с другими факторами, с некоей долей вероятности, можно принимать решение об успешной идентификации конечного клиента
@rmusiy добрый день. Подскажите, BK - это какой-то продукт? Если да, можете дать ссылку на его сайт? Или Вы просто предположили возможность решения с помощью предварительной установки на устройстве клиента dll/so и их последующего использования при работе клиента через DirectBank?
@BSSAnalytics Обмен через ВК это стандартный способ обмена по технологии DirectBank от фирмы "1С". Фактически существует две равноправных технологии обмена: через HTTP и через ВК. В первом случае 1С:Предприятие выступает как HTTP клиент и отправляет запросы напрямую на сервер банка. В случае работы через ВК 1С:Предприятие взаимодействует с подключаемым модулем, который запускается на машине клиента и самостоятельно взаимодействует с сервером банка по внутреннему протоколу.
@rmusiy понятно, спасибо. Да, действительно, таким образом можно решить задачу. Но у нас уже внедрено взаимодействие через API прямого обмена данными Смена способа обмена на этом этапе будет довольно трудозатратной.
@SevDmitry добрый день! Подскажите, пожалуйста, возможно ли получение IP и MAC-адресов пользователя, а также данных мобильного устройства через внешнюю компоненту? В обоих вариантах (по API взаимодействия с банком, через внешнюю компоненту) я не нашла, что эти данные в принципе передаются.
Думаю, что возможно. Из 1С вызывается метод компоненты отправить и передает данные документа в параметре вызова. Дальше компонента может собрать необходимые данные об устройстве и отправить их в банк вместе с данными документа. Программа 1С не принимает в этом участие.
