• Лотерея
• Благотворительность
• Информация
• Контакты
• ВХОД
• Регистрация

Безопасность

Уважаемые Участники лотереи «Zolton»!

Система безопасности нашей лотереи строится в соответствии с Законом РФ «О персональных данных» и письмом ЦБ   «О рисках при дистанционном банковском обслуживании».

Мы приложим все усилия для поддержания безопасности в нашей зоне обслуживания на самом высоком уровне. Мы предпримем все разумные меры для защиты Ваших прав, стараясь при этом не усложнять участие в лотереи добросовестных пользователей.   

Однако, для безопасного пользования системой лотереи, от Вас требуется придерживаться определенных правил, которые одинаковы для всех систем «электронной коммерции».

Поэтому мы уверены, что опыт дистанционного взаимодействия с нашей системой позволит Вам получить важные навыки по дистанционному взаимодействию с банками, электронными магазинами и электронными платежными системами.

В лотереи Zolton Вы имеете следующие параметры для обеспечения безопасности:

Логин (адрес Вашей электронной почты), номер Вашего мобильного телефона, пароль (Вы самостоятельно выбираете его при регистрации), номер квитанции ответственного хранения (приходит Вам по SMS после оплаты билетов), номер квитанции об оплате (при оплате через терминалы, банкоматы и платежным поручением – получаете при оплате на бумажном носителе, при оплате через интернет и мобильного телефона по SMS и на электронную почту).   

Публично известными параметрами естественно являются Логин и номер мобильного телефона.

Какие риски Вы несете? Один единственный: Ваш номер лотерейного билета выиграл, а выигрыш хочет получить злоумышленник.

Однако, для получения выигрыша, злоумышленник должен зарегистрироваться вместо Вас (если Вы купили выигрышный билет до регистрации) или знать Ваши параметры безопасности и авторизоваться  вместо Вас. Мы приняли ряд мер, для того, чтобы, даже зная Ваши регистрационные данные, у злоумышленника возникли определенные сложности при получении выигрыша по чужой регистрации.

В случае, когда Вы оплатили лотерейный билет до регистрации, Вам потребуется для дальней регистрации для получения выигрыша ввести  номер квитанции об оплате и номер квитанции ответственного хранения, который Вы получили по SMS вместе с номерами билетов. 

Таким образом, если Вы оплатили лотерейный билет до регистрации и утеряли квитанцию об оплате, а также если номер квитанции о хранении стал известен злоумышленнику (что в совокупности аналогично потере лотерейного билета), то получить выигрыш Вы сможете только через суд.   

Какие меры Вы должны применять, если оплатили лотерейный билет до регистрации:

1. хранить номер квитанции об оплате и не дать возможность третьему лицу узнать этот номер,
2. хранить номер квитанции об ответственном хранении и не дать возможность третьему лицу узнать этот номер,

Но самое лучшее - зарегистрироваться до оплаты, чтобы безопасность Ваших денег охранялась еще и регистрационными данными.

Какие меры безопасности Вы должны соблюдать после регистрации?

Естественно не разглашать свой пароль и хранить документы до момента проведения тиража, на который оплачены Ваши билеты, чтобы предъявить их при получении выигрыша.

Свод правил безопасности очень простой:

1. Всегда смотрите на тот ли сайт Вы вышли. Иногда злоумышленники, изменяя одну букву в названии сайта, могут представить Вам свой сайт, как сайт лотереи. И предложить Вам ввести там свой пароль и логин.
2. Не храните пароль и логин  в мобильном телефоне, где лежит номер квитанции ответственного хранения.
3. Не запоминайте пароль и логин на чужом компьютере.
4. Пользуясь чужим компьютером, например, в интернет кафе, используйте дополнительные одноразовые пароли и выбирайте режим «чужой компьютер».

 Безопасность платежей.

Безопасность платежей обеспечивается как системой, так и самим Пользователем. Система обеспечивает безопасную авторизацию и идентификацию Пользователя по различным параметрам:

• логину и паролю, при соединении с системой с мобильного телефона или компьютера по сети Интернет,
• по номеру телефона при использовании SMS,
• по номеру телефона и пин-коду в случае, если Пользователь управляет сервисом в режиме «звонка» с мобильного или обычного телефона.

Кроме этих параметров электронный сервис может запросить у Пользователя специальный контрольный код.

После регистрации Пользователя в системе и открытии им электронного счета, Пользователю по различным каналам связи (электронной почте и SMS) передаются эти параметры, причем одна их часть передается по электронной почте, а другая по SMS.

Безопасность платежей обеспечивается также определенной технологией «безопасных платежей», которая заключается в том, что каждый Пользователь самостоятельно выбирает свою политику безопасности. Выбор политики безопасности заключается в выборе конкретных получателей платежей, лимитов платежей и способа пополнения электронного счета. Для этого каждый из Пользователей при регистрации заполняет специальную форму – индивидуальную политику безопасности. Применяемая технология позволяет даже в случае, если все или некоторые параметры безопасности (кроме специального контрольного кода) станут известны злоумышленнику, то в худшем случае злоумышленник сможет  заплатить с электронного счета Пользователя только по его счетам.

Конфиденциальность  информации о Пользователях Системы и их параметрах безопасности обеспечивается хранением этой информации в закрытом виде, что не позволяет даже рядовым администраторам системы увидеть эту информацию.

Безопасность пополнения  

В общем случае любое третье лицо может пополнить электронный счет Пользователя через банкоматы, банки, почту и терминалы приема наличных платежей – это не влияет на безопасность пополнения, поскольку Пользователь имеет документ о переводе средств на электронный счет Zolton и может всегда подтвердить перевод средств. При этом, взаимодействие системы Zolton c организациями по приему платежей осуществляется по закрытым каналам связи. Поскольку пополнение осуществляется в реальном времени, Пользователь имеет возможность практически сразу проверить приход средств на свой электронный счет. 

В случае, если Пользователь выбрал пополнение со своей  банковской карты, то безопасность пополнения электронного счета определяется как безопасностью использования этой банковской карты, так и поступлении средств на электронный счет. Поскольку пополнение с банковской карты осуществляется только по сети Интернет и через систему Zolton, то Пользователь сразу имеет информацию о поступлении этих средств на свой электронный счет.

Безопасность использования банковской карты гарантируется Банком, который осуществляет авторизацию карты и перевод средств на электронный счет Zolton.

При желании Пользователя использовать банковскую карту,  он по безопасному соединению  переадресовывается на процессинговый центр банка и только там вводит информацию о своей карте. Система Zolton не имеет и не хранит информации о параметрах банковских карт и таким образом не имеет даже возможности несанкционированного использования этой карты.    

Обмен информацией о сумме пополнения счета между системой и банком осуществляется в защищенном виде.

Таким образом, безопасность использования для пополнения счета банковской картой не ниже, чем при пользовании банкоматом и  выше, чем при оплате товаров в обычном магазине!

Блокировка счета

При утере авторизационных параметров или даже наличии сомнений в том, что они стали несанкционированно известны третьему лицу рекомендуем заблокировать электронный счет.  Возможность блокировки счета доступна в любом меню любого из способов управления счетом. Так, в частности, если утерян мобильный телефон, в котором сохранились Ваши параметры безопасности, то с любого обычного телефона, набрав пин-код и выбрав в меню блокировку счета, Пользователь имеет возможность заблокировать свой электронный счет.

Разблокировка счета возможна только при наличии «контрольного кода», если он также утерян, то только по предъявлению паспорта на лицо указанное при  регистрации в системе Zolton.

Администрация системы Zolton рекомендует не хранить логин и пароль в мобильном телефоне или компьютере, не рекомендует хранить пин-код в мобильном телефоне, и тем более не рекомендует хранить контрольный код на любом терминале, который Пользователь применяет для управления электронным сервисом. 

Письма Банка России от 07.12.2007 № 197-Т «О рисках при дистанционном банковском обслуживании».

— грамотная политика информатизации, проводимая кредитной организацией (ее руководством);

— адекватная сложности и масштабам ее деятельности организация внутрибанковских процессов и процедур (управления и контроля);

— тщательно продуманная сетевая архитектура распределенных банковских компьютерных (автоматизированных) систем;

— наличие должным образом организованного внутреннего контроля (аудита) как своеобразной внутрибанковской системы;

— обеспечение информационной безопасности внутрибанковских процедур, операций и хранилищ данных (включая резервные);

— осуществление финансового мониторинга, адекватное применяемым технологиям электронного банкинга;

— полноценное информационное и документарное обеспечение клиентов;

— эффективное взаимодействие применяющей ДБО кредитной организации со своими провайдерами и поставщиками аппаратно-программного обеспечения.

Зона ответственности кредитной организации

В Письме Банка России № 197-Т приводятся примеры возможных «подвохов». В частности, в нем указывается, что «при совершении попыток неправомерного получения персональной информации пользователей систем ДБО клиентам кредитных организаций по системам электронной почты направляются сообщения, в которых под какими-либо предлогами (техническое перевооружение организации, обновление или сверка баз данных кредитной организации и т.п.) предлагается ввести с клавиатуры компьютера указанные коды в поля экранных форм в ходе имитируемых сеансов информационного взаимодействия с кредитной организацией (к примеру, через созданный дубликат¹⁷ ее web-сайта). Одновременно на компьютер клиента с web-сайта могут передаваться вредоносные программы, являющиеся компьютерными вирусами или “закладками”¹⁸, выполняющими в фоновом режиме работы скрытые функции, связанные с неправомерным получением персональной информации пользователей систем ДБО».

Здесь следует отметить, что, хотя речь, казалось бы, идет о фишинге, ориентированном на завладение заведомо конфиденциальной идентификационной пользовательской информацией, но способов его реализации достаточно много. Отсюда следует вывод о том, что «произвольно взятый клиент» кредитной организации, скорее всего, ни об одном из мошеннических приемов не имеет представления, а значит, дело самой кредитной организации поставить его об этом в известность. Не отказаться от ДБО (конкуренция и технический прогресс не позволяют), но знать о необходимых и достаточных мерах информационной безопасности, равно как и внедрять их в сознание персонала и клиентов. Клиент также должен располагать всей необходимой информацией относительно того, как вести себя правильно в штатных и нештатных ситуациях. В случае интернет-банкинга это может быть, например, блокирование web-сайта любимой кредитной организации, размещение на нем антирекламы, клеветнической информации, ссылок на порносайты и т.п. (неуязвимых web-сайтов не существует просто по определению: то, что один человек может создать, другой может сломать...).

Относительно, казалось бы, более простых и привычных форм ДБО в Письме Банка России говорится: «Наблюдаются случаи неправомерного получения реквизитов банковских карт при проведении операций через банкоматы. При этом используются накладные устройства на клавиатуру для ввода ПИН-кода или на устройство для приема карт в банкомат, а также специально приспособленные для этих целей “фальшивые” банкоматы, которые незаконно устанавливаются, как правило, в неконтролируемых кредитными организациями местах и внешне не отличаются от банкоматов, используемых для ДБО клиентов кредитных организаций.

Неправомерно полученные различными способами реквизиты банковских карт используются для изготовления поддельных банковских карт, частично (так называемый белый пластик) или полностью имитирующих подлинные. При использовании в банкоматах поддельные банковские карты предоставляют их обладателям все возможности подлинных банковских карт».

Процитированное выше вполне может подвигнуть кредитные организации на размещение соответствующей «просветительской информации» непосредственно на своих банкоматах, в офисах (филиалах) и на web-сайтах. При этом, по мнению автора, важен акцент и на «гражданскую ответственность» клиентов кредитных организаций, которые используют разнообразные функциональные возможности технологий электронного банкинга: необходимы каналы обратной связи, то есть информирование уже клиентами своих кредитных организаций обо всех подозрительных ситуациях, связанных с ДБО, на которые они обратили внимание.

Далее в Письме Банка России отмечается: «В целях неправомерного получения персональной информации пользователей систем ДБО заинтересованные лица используют также различные варианты телефонного мошенничества. В частности, отмечаются случаи направления мошенниками на мобильные телефоны клиентов кредитных организаций SMS-сообщений о необходимости позвонить по номерам телефонов, которые в действительности не принадлежат этим организациям. Также имеют место звонки клиентам с сообщением автоинформаторов о предоставлении продуктов и услуг банка с предложением нажать определенные клавиши на телефоне для подтверждения согласия в их приобретении и т.п. Тем самым клиенты банка провоцируются к вступлению в контакты с мошенниками, целью которых в том числе может являться получение конфиденциальной клиентской информации (например, номера банковской карты и ПИН)».

Информационные системы, в которых хранятся и обрабатываются персональные данные, согласно закону 152-ФЗ "О персональных данных", первоначально должны были быть приведены в соответствие с его положениями не позднее 1 января 2010 года. Однако законом №363-ФЗ от 27.12.2009 г. были внесены изменения, перенесшие дату на 1 год – на 1 января 2011 г. В результате участники рынка получили время на решение этой, казалось бы, чисто технической, а на деле включающей в себя сложный комплекс организационных и правовых аспектов задачи. Реализации отдельных положений закона на практике и был посвящен круглый стол "Защита персональных данных", организованный CNews Analytics и CNews Conferences.

Разные виды персональных данных имеют разную цену для злоумышленников (многие виды им вообще не нужны). Так, в США и Великобритании (откуда "родом" большинство фиксируемых утечек) прагматично защищают не любые персональные данные, а лишь те, которые можно быстро конвертировать в деньги. Именно за такими данными охотятся злоумышленники. Прежде всего, это данные банковских карт и номера социального страхования. Сбыт и дальнейшее использование такой информации отлажены. И чем дальше, тем больше возможностей появляется у людей, желающих незаконным образом заработать на продаже ПД, и тем шире масштабы этого криминального рынка.