В PayControl ГОСТ используется Электронная подпись по алгоритму ГОСТ 34.10-2012 с длиной ключа 256 бит. Для защиты ключа электронной подписи (закрытого ключа) используется симметричный алгоритм блочного шифрования ГОСТ 28147-89. Ключ шифрования ключей вырабатывается на основе пароля, запрашиваемого у пользователя, с применением функции PBKDF2 (PKCS #5), используемая хэш-функция – ГОСТ 34.11-2012, количество итераций – 2000.
При хранении ключевой информации в мобильном устройстве, доступ к ней может быть получен только после ввода пароля или разблокировки с помощью TouchID/FaceID, либо Google Fingerprint. Длина пароля ограничивается минимальной длиной в 6 символов. Требования к сложности пароля могут задаваться со стороны сервера.
При этом ни сам пароль, ни его производные (например, значение хеш-функции от пароля) не сохраняются в памяти мобильного телефона ни в каком виде.
При сохранении ключевой информации выполняется ее шифрование последовательно на двух разных ключах:
Зашифрованная ключевая информация сохраняется в памяти мобильного телефона.
Для получения доступа к ключевой информации злоумышленнику необходимо завладеть мобильным телефоном, а также владеть паролем и/или биометрией пользователя.
Для доступа к серверу PayControl ГОСТ со стороны клиентской части каждый запрос сопровождается кодом аутентификации запроса. Он имеет такие же свойства, как и код подтверждения, а именно:
Запрос на предоставление информации со стороны сервера PayControl ГОСТ будет выполнен только в том случае, если проверка кода аутентификации будет пройдена успешно. В противном случае результатом запроса будет ошибка.
Значение кода аутентификации помещается в HTTP-заголовок Authorization и проверяется на стороне сервера путем вычисления собственного кода, относящегося к пользователю, и его сравнения с представленным значением.
Подпись в PayControl ГОСТ вырабатывается в трех значениях:
1. Код подтверждения полный;
2. Код подтверждения «укороченный» (для офлайн подтверждения);
3. Асимметричная подпись.
Сервер примет попытку подтверждения только если значения полного кода подтверждения и асимметричной подписи проходят проверку одновременно.
АРМ Разбора конфликтных ситуаций (АРМ РКС) в составе PayControl ГОСТ предназначен для выполнения следующих действий:
АРМ РКС позволяет получить техническую информацию касательно подтверждения транзакций и значений электронной подписи с возможностью восстановить картину действий пользователя PayControl ГОСТ, включая ответы на вопросы:
PayControl ГОСТ соответствует требованиям к неквалифицированной электронной подписи (далее - НЭП), предъявляемым в ст.5 п.3 63-ФЗ “Об электронной подписи”:
3. Неквалифицированной электронной подписью является электронная подпись, которая:
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.
Также обеспечивается соответствие требованиям, внесенным Указанием Банка России №6071-У (п.5.1 683-П):
В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом кредитные организации должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.
Так как PayControl ГОСТ использует два типа криптографических преобразований (асимметричные и симметричные - см. раздел “Выработка и проверка подписи” в документе Архитектура и принципы работы), это позволяет использовать его при составлении юридических конструкций для удовлетворения данного требования с одним из видов ЭП по выбору:
Благодаря использованию асимметричной криптографии и наличию модуля разбора конфликтных ситуаций (АРМ РКС), определена процедура, благодаря которой можно однозначно определить авторство электронной подписи и наличие в подписанном документе модифицированных данных.
Благодаря отсутствию кодов подтверждения и наличию ключа ЭП в мобильном телефоне, клиент может ознакомиться со всеми реквизитами документа, увидеть в явном виде несоответствие и самостоятельно значительно более осознанно принять решение о проведении платежа. При использовании PayControl ГОСТ, фрод снижается в несколько раз.
При включении опции сбора информации PayControl ГОСТ позволяет получить широкий перечень данных о мобильном устройстве пользователя, согласно требованиям к цифровому отпечатку устройства СТО Банка России. Полученные данные можно использовать в Anti-Fraud и CRM-системах. Параметры можно разделить на две группы:
PayControl ГОСТ собирает все доступные данные, однако конечный список зависит от операционной системы устройства.
Данная группа содержит в себе следующие параметры:
производитель, модель, версия ОС, часовой пояс, настройки языка, технические характеристики (модель процессора, характеристики дисплея и т.д.);
характеристики внешней карты памяти, объём оперативной памяти, объём внутренней памяти;
наименование, идентификаторы, версия
наименование сети, IP-адрес, MAC-адрес
акселерометр, датчик освещённости
Следующие параметры доступны после получения от пользователя дополнительных разрешений:
широта и долгота;
данные о мобильном операторе, количество SIM-карт.
PayControl ГОСТ можно применять для 3D-Secure, что значительно сократит расходы и повысит безопасность оплаты через интернет.
PayControl ГОСТ обладает функциональностью, позволяющей реализовать сценарии авторизации пользователя в Веб-ресурсах оператора информационной системы посредством сканирования QR-кода с помощью мобильного приложения вместо ввода логина и пароля.
PayControl ГОСТ обладает функциональностью, позволяющей подтверждать транзакции непосредственно в области отображения Push-уведомления. Данная технология позволяет подтверждать транзакции, не открывая мобильное приложение.
В случае, если к мобильному устройству с установленным приложением PayControl ГОСТ или мобильным приложением с интегрированными SDK PayControl ГОСТ подключены смарт-часы, то транзакции также возможно подтверждать и из интерфейса смарт-часов.
При интеграции с системой предотвращения мошенничества Secure Bank (Group IB), PayControl ГОСТ позволяет производить автоматическое подтверждение транзакций на основе оценки безопасности устройства и поведенческого анализа. При негативной оценке безопасности устройства или несвойственного поведения пользователя, PayControl ГОСТ сообщит информационной системе о риске и/или потребует от пользователя дополнительных действий.
При интеграции с системой биометрической аутентификации OZ-forensics PayControl ГОСТ использует биометрические данные для подтверждения высокорисковых операций, таких как перевыпуск ключей электронной подписи или транзакций с большими суммами. В этом случае PayControl ГОСТ инициирует биометрическую аутентификацию посредством сличения образа лица пользователя с имеющимся образом в базе данных подсистемы биометрической аутентификации.