PayControl

Продукт
Разработчики: СэйфТек (SafeTech)
Дата премьеры системы: 2013
Дата последнего релиза: 2024/01/18
Отрасли: Финансовые услуги, инвестиции и аудит
Технологии: ИБ - Аутентификация

Содержание

PayControl – решение для электронной подписи в смартфоне, которое позволяет клиентам подтверждать свои операции, создаваемые в любых цифровых каналах (Интернет-банкинг, мобильный банкинг, операции CNP, телефонный банкинг (Private-bank) и других). Может работать как в виде отдельного приложения для смартфона, так и встраиваться непосредственно в приложение мобильного банкинга.

PayControl предоставляет пользователю возможность убедиться в корректности данных операции или электронного документа и сформировать подпись независимо от используемого устройства. Никаких дополнительных скретч-карт или криптокалькуляторов. Никакой зависимости от наличия сотовой связи и скорости доставки SMS. Использование PayControl нисколько не сложнее, чем звонок с мобильного телефона.

2024: Поддержка ОС «Аврора»

Компания SafeTech добавила поддержку отечественной мобильной операционной системы «Аврора» в свой флагманский продукт PayControl. Об этом компания сообщила 18 января 2024 года.

Поддержка ОС «Аврора» в платформе PayControl позволяет наряду с Android и iOS обеспечить быстрое и безопасное подтверждение транзакций в мобильных приложениях и сервисах, работающих в устройствах с отечественной ОС.

«
Есть кредитные организации, кто уже выпустил и планирует выпустить в ближайшее время приложения «мобильный банк» для ОС «Аврора». Поэтому мы решили выпустить версию PayControl для ОС «Аврора», чтобы банки имели возможность еще на этапе разработки мобильного банка для ОС заложить в него возможность быстрого и безопасного подтверждения транзакций, и тем самым проявить заботу о тех своих клиентах, кто по долгу службы или велению сердца перешел на эту отечественную ОС, - сказал коммерческий директор SafeTech Дарья Верестникова.
»

2022

PayControl ГОСТ на базе сертифицированных СКЗИ КриптоПро CSP и JCP

20 декабря 2022 года компания SafeTech сообщила о том, что совместно с компанией КриптоПро расширила возможности флагманского решения PayControl. Теперь решение работает с использованием сертифицированных СКЗИ КриптоПро CSP и JCP, что позволяет реализовать формирование и проверку усиленной неквалифицированной электронной подписи в соответствии с государственными стандартами ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012.

Использование PayControl ГОСТ позволит организациям обеспечить максимальную безопасность своих цифровых каналов и полное соответствие требованиям законодательных органов к подтверждению волеизъявления пользователей. Продукт позволяет решить следующие задачи:

  • обеспечение максимального уровня [[ Безопасность бесконтактных платежей

.|безопасности]] транзакций для защиты денежных средств клиентов;

  • обеспечение клиентам возможности быстрого и удобного формирования подписи с использованием мобильного устройства;
  • минимизация финансовых затрат по сравнению с другими технологиями подтверждения транзакций;
  • выполнение требований регулятора в части использования неквалифицированной электронной подписи для совершения операций.

Мобильная электронная подпись PayControl ГОСТ создается путем криптографических преобразований подписываемой информации (реквизитов конкретной финансовой транзакции или электронного документа) в сочетании с особенными характеристиками конкретного смартфона.Банковская цифровизация: ускоренное импортозамещение и переход на инновации. Обзор и рейтинг TAdviser 13.1 т

Подписание и подтверждение операций происходит одним касанием экрана. PayControl ГОСТ позволяет максимально эффективно противостоять наиболее распространенным мошенническим схемам: перехват одноразовых кодов подтверждения в SMS и PUSH, использование зловредного программного обеспечения на компьютерах и мобильных устройствах, социальная инженерия и фишинг.

Решение призвано кардинально повышать безопасность цифровых каналов и развивать безопасное дистанционное банковское обслуживание. PayControl ГОСТ значительно упрощает пользовательский опыт путем трансформирования мобильного устройства в аналог USB-токена с экраном. Решение позволяет подтверждать запрос на совершение банковских транзакций, выполнять процедуру многофакторной аутентификации, создавать и подписывать электронные документы, фиксировать факты получения и/или ознакомления с определённой̆ информацией.

«
Компания SafeTech старается предоставлять рынку актуальные решения как с технологической стороны, так и со стороны соответствия законодательным трендам. Использование в PayControl ГОСТ сертифицированного СКЗИ компании КриптоПро дает возможность массово использовать в мобильном банкинге не только простую, но и неквалифицированную подпись. Выход PayControl ГОСТ без сомнения станет одним из самых значимых событий 2023 года в сфере защиты банковских платежей от фрода и мошенничества и выведет дистанционные каналы на принципиально другой уровень безопасности,
отметила Дарья Верестникова, коммерческий директор SafeTech.
»

«
Переход PayControl, зарекомендовавшего себя как эффективное решение для обеспечения безопасности банковских операций, на доверенное криптографическое ядро КриптоПро, делает его действительно передовым средством для защиты денежных средств клиентов. Такое совместное решение обеспечит максимальную безопасность и удобство дистанционного банковского обслуживания как для клиентов, так и для самих банков,
сказал Станислав Смышляев, заместитель генерального директора КриптоПро.
»

Патент Евразийского патентного ведомства на технологию подтверждения операций пользователей в цифровых каналах

Компания SafeTech, резидент «Сколково», получила патент Евразийского патентного ведомства на технологию подтверждения операций пользователей в цифровых каналах. Она лежит в основе платформы мобильной аутентификации и электронной подписи PayControl. Об этом 12 декабря 2022 года сообщила пресс-служба Фонда «Сколково».

Иллюстарция:mavink.com

SafeTech перенесли электронную подпись в мобильный телефон, создав аналог USB-токена. Мобильная электронная подпись PayControl создается путем криптографических преобразований подписываемой информации (реквизитов конкретной финансовой транзакции или электронного документа) в сочетании с характеристиками конкретного смартфона.

«
SafeTech – это пример инновационной компании, которая сочетает высокий уровень безопасности и удобства своих решений. Для цифровой экономики в первую очередь необходимо перейти на электронный документооборот и цифровые подписи, именно с этим и помогает SafeTech,
отметил Павел Новиков, директор центра инноваций в финансовом секторе ИТ-кластера Фонда «Сколково».
»

Компаниям и их клиентам решение PayControl позволяет подтверждать запрос на совершение банковских транзакций, проводить онбординг клиентов и процедуру многофакторной аутентификации, создавать и подписывать электронные документы, фиксировать факты получения или ознакомления с определённой информацией.

«
Данный патент — очередное подтверждение нацеленности компании на разработку собственных технологий, а не заимствование уже существующих. Это не только признание результатов многолетней работы, но и подтверждение компетенций команды. Прилагаются большие усилия, чтобы партнеры и заказчики могли использовать продукты для развития своего бизнеса,
сказал Денис Калемберг, генеральный директор и сооснователь SafeTeсh.
»

Технология SafeTech призвана развивать безопасное дистанционное банковское обслуживание и кардинально повысить безопасность цифровых каналов, будь то мобильные и интернет-банки или другие цифровые каналы, где необходима дополнительная аутентификация. В ней используются алгоритмы, которые защищают любые операции пользователей, противодействуя мошенническим схемам: перехват одноразовых кодов подтверждения в SMS и push-уведомлениях, использование зловредного программного обеспечения на компьютерах и мобильных устройствах, социальная инженерия и фишинг.

2020

Интеграция с Avanpost FAM и Avanpost Web SSO

Продукты компании Аванпост для аутентификации пользователей в корпоративных ресурсах (Avanpost FAM) и внешних приложениях (Avanpost Web SSO) расширили ассортимент доступных факторов аутентификации за счет интеграции с платформой мобильной электронной подписи PayControl. Об этом стало известно 22 декабря 2020 года.

Теперь в Avanpost FAM и Avanpost Web SSO при входе в Windows VPN и Windows RDP наряду с push-уведомлениями в мессенджеры доступно подтверждение аутентификации через мобильное приложение PayControl. Этот метод применим и для других систем (веб, десктопных и RADIUS), подключаемых к Avanpost FAM и Avanpost Web SSO и требующих доставки фактора аутентификации по альтернативному каналу связи. Комплексное решение значительно повышает удобство многофакторной аутентификации для пользователей.

Приложение PayControl доступно для установки из App Store и Google Play на устройства iOS и Android. Решение PayControl готово к размещению в on-premise инфраструктуре, поэтому может быть легко интегрировано в ИТ-ландшафт любой организации.

Интеграция в мобильное приложение «МИнБанк Бизнес-онлайн»

ПАО «Московский Индустриальный банк» (ПАО «МИнБанк») интегрирует технологию PayControl в мобильное приложение системы дистанционного банковского обслуживания (ДБО) для корпоративных клиентов «МИнБанк Бизнес-онлайн». Об этом банк сообщил 30 ноября 2020 года. Подробнее здесь.

Соответствие PayControl v5 ОУД4

27 октября 2020 года года компания SafeTech сообщила, что в отношении Программного комплекса «PayControl» версии v5 получены положительные результаты анализа уязвимостей по требованиям к четвертому оценочному уровню доверия (ОУД 4) в соответствии с требованиями национального стандарта РФ ГОСТ Р ИСО/МЭК 15408-3-2013.

Анализ уязвимостей прикладного программного обеспечения автоматизированных систем и приложений кредитных и некредитных финансовых организаций предусмотрен Положениями Банка России № 382-П, № 683-П и № 684-П. Данный анализ является обязательным и проводится в соответствии с требованиями национального стандарта РФ ГОСТ Р ИСО/МЭК 15408-3-2013.

Прохождение программным комплексом PayControl, предназначенным для подтверждения операций в системах дистанционного банковского обслуживания и подписи электронных документов, необходимой процедуры анализа уязвимостей, позволит партнерам и заказчикам компании SafeTech, внедрившим PayControl, существенно упростить проведение обязательного анализа своих прикладных систем. Теперь отечественные банки и разработчики систем ДБО во время проведения анализа уязвимостей своих разработок получат полный комплект документов, подтверждающих что интегрируемый программный комплекс PayControl уже прошел необходимый анализ, и сократят объемы собственных испытаний. Таким образом, финансовые организации получат при выборе PayControl дополнительные преимущества.

«
Целью проведения анализа уязвимостей программного комплекса PayControl по требованиям ОУД 4 была всесторонняя проверка уровня безопасности решения в целом. Исследование, включающее в себя анализ документации, изучение архитектуры и компонентов решения, статический и динамический анализ исходного кода, а также тестирование на проникновение, позволяет оценить качество программного обеспечения, – отметил Денис Калемберг, генеральный директор компании SafeTech. – Кроме того, процедура анализа уязвимостей проводилась для помощи нашим партнерам и заказчикам в процессе анализа собственной прикладной системы по требованиям ОУД 4. И мы рады, что кроме всесторонне проверенного и безопасного решения мы можем предложить банкам и разработчикам ДБО снижение затрат на обязательные исследования программного обеспечения автоматизированных систем.
»

В составе совместного решения Abanking и SafeTech «Безбумажный офис»

Компании Abanking и SafeTech, резиденты Кластера информационных технологий Фонда «Сколково», представили решение — «Безбумажный офис». Об этом 17 июля 2020 года сообщил Фонд «Сколково»В его основе лежат технологии цифровых сервисов от Abanking и программный комплекс для подтверждения пользователем операций в системе дистанционного банковского обслуживания (ДБО) и электронного документооборота от SafeTech. Подробнее здесь.

Модель PayControl Inform

PayControl Inform — модуль решения PayControl, обеспечивающий рассылку PUSH-сообщений клиентам прикладных систем и сервисов с последующим контролем их доставки на мобильные устройства, и, в случае несостоявшейся доставки, дублированием того же сообщения через SMS-шлюз.

В условиях возрастания количества пользователей Интернет-банкинга и числа мобильных платежей финансовые институты и сервис-провайдеры столкнулись с необходимостью оперативного массового информирования своих клиентов с контролем доставки сообщений на мобильные устройства пользователей. Ранее для решения этой задачи использовались SMS-сообщения, но в настоящее время потребовалась более надежная и эффективная альтернатива. С одной стороны, сообщения SMS перестали соответствовать возросшим требованиям по безопасности — средства перехвата и подмены сообщений, доступные злоумышленникам, получили существенное развитие, а с другой — сами протоколы, используемые при отправке SMS-сообщений изначально не были предназначены для передачи конфиденциальной информации и в настоящее время скомпрометированы. Кроме этого, стоимость использования SMS-канала для информирования клиентов при увеличении количества пользователей и мобильных платежей стала для небольших банков и провайдеров услуг достаточно заметной и не всегда доступной.

2019: Интеграция с Group-IB Secure Bank для защиты от финансового мошенничества

9 октября 2019 года компании Group-IB и SafeTech предложили подход к защите финансовых операций в системах дистанционного банковского обслуживания, основанный на оценке риска пользовательской сессии в режиме реального времени. Объединение продуктов компаний SafeTech PayControl и Group-IB Secure Bank обеспечивает адаптивную аутентификацию пользователя, подтверждение транзакций электронной подписью, а также скоринг устройств клиента в целях обнаружения признаков финансового мошенничества и немедленного реагирования на подозрительное событие.

Схема работы совместного решения Group-IB и SafeTech

Со слов разработчиков, интегрированное решение обеспечивает всестороннюю и непрерывную защиту физических и юридических лиц, использующих системы дистанционного банковского обслуживания, снижает нагрузку на колл-центр и антифрод-системы банка, а также делает проведение платежных операций удобным для пользователей.

Group-IB Secure Bank проводит скоринг смартфона, планшета или любого другого устройства, с которого пользователь заходит в мобильное банковское приложение или в личный кабинет на сайте банка. В режиме реального времени устройство «сканируется» для выявления на нем признаков социотехнических атак, кросс-канального платежного мошенничества, подозрительного поведения пользователя, попыток кражи, нелегального использования учетных данных, заражения банковскими троянами или наличия веб-инъекций.

В процессе подписания конкретной финансовой транзакции PayControl получает от системы ДБО данные операции, а от Group-IB Secure Bank – результат скоринга, то есть оценку уровня риска сессий создания и подписания операции. На основании этих данных PayControl «принимает решение», какое количество факторов доступа к ключу подписи запросить у пользователя, и только после их ввода подписывает операцию криптографически стойкой электронной подписью, позволяющей гарантировать авторство и неизменность платежного документа.

«
«В процессе создания PayControl мы ставили перед собой задачу обеспечить максимально возможный уровень безопасности при совершении любых операций в цифровых каналах, не снижая при этом мобильности и удобства работы пользователей. Интеграция с Group-IB Secure Bank позволила достигнуть бескомпромиссного сочетания этих показателей. Клиентам банков потребуется либо ввести пароль, либо предъявлять TOUCH/FACE-ID, либо электронная подпись под доверенной операцией сформируется вообще без каких-либо действий со стороны пользователя. Такая адаптивная аутентификация способна свести к минимуму широкий спектр рисков, связанных с безопасностью всех типов платежей, при этом сделав жизнь клиентов банков проще»,
»

Если финансовая операция вызывает подозрения на уровне сессионного анализа (Secure Bank) или транзакционного анализа (антифрод-система), PayControl обязательно запросит дополнительный фактор для электронной подписи, например, биометрического подтверждения или ввод PIN-кода. Исполнение транзакции будет невозможно, если устройство не прошло скоринг и выявлены явные признаки мошенничества. Эти возможности основаны на автоматической оценке уровня риска пользовательских сессий, контроле состояния клиентского устройства и мобильной электронной подписи, контролирующей целостность и авторство подтверждаемого документа.

Разработчики интегрированного решения делают ставку на простоту внедрения: банк получает готовый инструмент для оценки рисков и электронной подписи конкретных финансовых сессий пользователей. Не менее важным является снижение нагрузки на антифрод-системы за счет отсутствия необходимости сопоставления разрозненных данных о транзакции пользователя из системы ДБО и данных об устройстве пользователя и событиях, связанных с осуществлением платежа. К плюсам адаптивного подтверждения платежей также относится прямое снижение затрат на услуги операторов связи (расходы на SMS), экономию за счет уже реализованной интеграции систем друг с другом, на их техническую поддержку и эксплуатацию.

«
«Совместное решение с SafeTech позволяет предложить банкам готовое решение не только по выявлению мошенничества, но и по реагированию в процессе подписания документа. Этот функционал расширяет возможности применения Group-IB Secure Bank, так как скоринг идет в режиме реального времени во всех каналах коммуникации клиента с банком. Допустим, если платеж был инициирован через удаленное управление на мобильном устройстве, то подписание транзакции будет отклонено по признаку проведения социотехнической атаки. Это простой и удобный способ для банков защитить своих клиентов: сколько бы не было попыток фрода с социальной инженерией в отношении конкретного пользователя, даже если он поверил подставному «сотруднику банка», технологически такая операция будет остановлена банком»,
»

По данным ФинЦЕРТ Банка России количество попыток банковского мошенничества постоянно растет. Так, в 2018 году регулятор зафиксировал 6151 несанкционированную операцию со счетов юридических лиц на общую сумму 1,469 млрд рублей. При этом, по сравнению с предыдущим годом был отмечен рост числа попыток хищений на 631% (в 7,3 раза). Почти половина хищений (46% в 2018 году) произошли в результате получения злоумышленниками доступа к системам ДБО с использованием вредоносного ПО и приемов социальной инженерии.

2015: Описание PayControl

Система PayControl была разработана с учетом запросов и пожеланий служб информационной безопасности и бизнес подразделений российских банков. PayControl предоставляет пользователю возможность убедиться в корректности данных транзакции и сформировать код подтверждения независимо от используемого компьютера.

По информации на сентябрь 2015 года безопасность решения основана на лучших практиках построения систем подтверждения электронных документов, в сочетании с максимальным удобством использования для клиента Банка.

Никаких дополнительных скретч-карт или криптокалькуляторов. Никакой зависимости от наличия сотовой связи и скорости доставки SMS. Использование PayControl нисколько не сложнее, чем звонок с мобильного телефона.

Мобильное приложение PayControl - это

  • визуальный контроль подписываемого документа любого формата на отдельном устройстве - мобильном телефоне
  • генерация кода подтверждения, «привязанного» к реквизитам платежа
  • независимость от наличия канала сотовой связи
  • гарантированное уведомление клиента о совершаемой транзакции

Безопасность PayControl

  • Документ создается и подтверждается на разных устройствах
  • пользователь видит реквизиты платежа на экране телефона и имеет возможность проконтролировать их корректность
  • для совершения успешной атаки злоумышленник должен получить доступ и к компьютеру клиента, и к его мобильному телефону
  • Безопасная передача ключевой информации пользователю
  • пользователь имеет возможность получить ключевую информацию удаленно, без посещения офиса Банка
  • для передачи пользователю ключевой информации используется два независимых канала связи
  • Неотказуемость от совершения операции
  • транзакция перед подтверждением заверяется квалифицированной электронной подписью Банка
  • пользователь не только подтверждает реквизиты платежа, но и «расписывается» в получении уведомления о совершаемой операции

Удобство PayControl

  • никаких дополнительных устройств (токенов, генераторов паролей, скретч-карт и пр.)
  • автоматизированный ввод данных транзакции (QR-код)
  • автоматизированный ввод ключевой информации
  • независимость от каналов сотовой связи (работа в роуминге, вне зоны покрытия операторов и пр.)
  • интуитивно понятный интерфейс
  • распространение через привычные магазины приложений (Apple AppStore, Google Play)

Платежные системы и сервисы





ПРОЕКТЫ (21) ПРОЕКТЫ НА БАЗЕ (3) ИНТЕГРАТОРЫ (4)
РЕШЕНИЕ НА БАЗЕ (1) СМ. ТАКЖЕ (40) ГЕОГРАФИЯ

ЗаказчикИнтеграторГодПроект
- МБА-Москва
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС)2024.02Описание проекта
- Сургутнефтегазбанк (СНГБ)
СэйфТек (SafeTech), Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС)2023.11Описание проекта
- СИАБ (Санкт-Петербургский Индустриальный Акционерный Банк) SIAB
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС)2023.10Описание проекта
- СДМ-Банк
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС)2023.10Описание проекта
- Orient Finans Bank (Ориент Финанс)
U-BSS2023.06Описание проекта
- Уралсиб ФК
СэйфТек (SafeTech)2022.05Описание проекта
- Кузнецкий Банк
СэйфТек (SafeTech)2021.08Описание проекта
- НИКО-Банк
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС), СэйфТек (SafeTech)2021.07Описание проекта
- Банк Интеза (КМБ-Банк - Банк кредитования малого бизнеса)
СэйфТек (SafeTech)2021.02Описание проекта
- Актив банк
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС)2020.09Описание проекта
- СМП Банк (Северный морской путь)
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС), СэйфТек (SafeTech)2020.08Описание проекта
- Банк Казани - Коммерческий Банк Экономического Развития (КБЭР)
СэйфТек (SafeTech)2020.06Описание проекта
- Московский кредитный банк (МКБ)
СэйфТек (SafeTech)2020.05Описание проекта
- Абсолют Банк
СэйфТек (SafeTech)2020.05Описание проекта
- Порт транзит
СэйфТек (SafeTech)2019.12Описание проекта
- Банк Возрождение
СэйфТек (SafeTech)2019.07Описание проекта
- Русский стандарт Банк
СэйфТек (SafeTech)2019.06Описание проекта
- АК БАРС Банк
СэйфТек (SafeTech)2018.11Описание проекта
- Экспобанк
Кластер ИТ Сколково2018.03Описание проекта
- Россельхозбанк (РСХБ)
СэйфТек (SafeTech)2017.04Описание проекта
- Федеральный банк инноваций и развития
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС)2015.09Описание проекта



Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год