[Owasp-poland] Kryteria oceny bezpieczeństwa bankowości internetowej

Pawel Krawczyk pawel.krawczyk at hush.com
Sat May 15 02:54:31 EDT 2010


On 2010-05-15 01:05, Paweł Goleń wrote:

> Nie mogę się też zgodzić z tym, że niezaprzeczalność nie jest istotna w
> przypadku bankowości masowej. Prosty scenariusz - "ja nie zrobiłem tego
> przelewu na 50 000, proszę mi oddać pieniądze". 

W tym przypadku pytanie powinno brzmieć: jak często klienci bankowości
detalicznej robią przelewy ma 50 tys. zł i jak często im zaprzeczają? W
rezultacie możemy wyznaczyć granicę pomiędzy poziomem ryzyka, który
akceptujemy - jeśli tego nie zrobimy to owszem, powyższy scenariusz z
zaprzeczeniem nie zaistnieje, ale też nie zaistnieją miliony scenariuszy
z normalnymi transakcjami bo ci klienci dawno od nas uciekną.

Nie móżna zapominać, że jednym z atrybutów bezpieczeństwa jest
"dostępność" definiowana jako możliwość uzyskania niezakłóconego dostępu
do informacji przez uprawnionego użytkownika. A 100% poufności będzie
oznaczało 0% dostępności :)

> Jak bank udowodni
> klientowi, że a i owszem, zrobił? Autoryzacja transakcji chroni nie
> tylko klienta, ale również bank. Być może użycie słowa
> "niezaprzeczalność" jest nieco za mocne (nie należy kojarzyć go z
> podpisem elektronicznym), ale metoda autoryzacji transakcji powinna
> dawać bankowi szanse na skuteczne udowodnienie klientowi, że to
> rzeczywiście on transakcję autoryzował.

Bo poza samą funkcją bezpieczeństwa (tu: niezaprzeczalności) trzeba
mówić jeszcze o różnych poziomach siły czy pewności - dobry przykład:

http://ipsec.pl/firmy/2008/o-dokumencie-ida-authentication-policy.html

-- 
Paweł Krawczyk
http://ipsec.pl/
mob. +48602776959



More information about the Owasp-poland mailing list