[Owasp-poland] Kryteria oceny bezpieczeństwa bankowości internetowej

Paweł Goleń pawel.golen at gmail.com
Fri May 14 19:05:08 EDT 2010


On 2010-05-14 18:43, Pawel Krawczyk wrote:

> Nad tym się nie można zastanawiać w oderwaniu od konkretnego
> zastosowania. W funduszu inwestycyjnym niezaprzeczalność może być ważna,
> w bankowości masowej - w ogóle nie ważna. A każda funkcja bezpieczeństwa
> kosztuje i to zarówno po stronie banku jak i po stronie klienta.

To ja dorzucę jeszcze, że w systemach maklerskich zupełnie naturalną
rzeczą jest możliwość WYŁĄCZENIA autoryzacji operacji. Wszystko dlatego,
że biznesowo bardziej istotne jest umożliwienie szybkiej realizacji
operacji.

Nie mogę się też zgodzić z tym, że niezaprzeczalność nie jest istotna w
przypadku bankowości masowej. Prosty scenariusz - "ja nie zrobiłem tego
przelewu na 50 000, proszę mi oddać pieniądze". Jak bank udowodni
klientowi, że a i owszem, zrobił? Autoryzacja transakcji chroni nie
tylko klienta, ale również bank. Być może użycie słowa
"niezaprzeczalność" jest nieco za mocne (nie należy kojarzyć go z
podpisem elektronicznym), ale metoda autoryzacji transakcji powinna
dawać bankowi szanse na skuteczne udowodnienie klientowi, że to
rzeczywiście on transakcję autoryzował.
-- 
Paweł Goleń
mailto:pawel.golen at gmail.com


More information about the Owasp-poland mailing list