Читайте также

Как украинцы расплачиваются смартфонами. Данные ПриватБанка 02.04.2019Кабмин утвердил HR-компании для отбора членов набсоветов банков 27.03.2019Властелин колец. Когда украинцы смогут платить невидимо 07.03.2019

Интересно, что жесткое требование доступа в Приват24 работает только для Android-смартфонов. Владельцы iPhone их могут отключить. “Такие требования у Apple, – рассказывает Назар Грынык, директор агентства мобильного маркетинга LEAD9. – Один из их основных принципов – не собирать никакие персональные данные без разрешения пользователя Они даже ФБР отказали в разблокировке iPhone”.

Другие банки: у нас – выбор

Liga.Tech опросила пользователей и работников Monobank, Альфа-Банка, Ощадбанка и ПУМБ. 

“Все разрешения в нашем приложении запрашиваются только с целью улучшить сервис для клиента. Они не затрагивают работу основной функциональности приложения. Суперобязательных среди них нет”, – говорит Антон Тютюн, заместитель председателя правления Ощадбанка.

По его словам, геолокация устройства приложению нужна, чтобы предоставлять информацию о ближайших отделениях и банкоматах. Еще Ощад 24 просит доступ к СМС, чтобы автоматически из них вытаскивать одноразовые пароли для быстрого подтверждения операций. Доступ к камере – для удобного сканирования номера карты и возможности отправки сотруднику банка сообщений со вложенными файлами.

В Monobank все запрашиваемые права также опциональны и не влияют на разрешение пользоваться приложением, говорит сооснователь продукта Олег Гороховский. От доступа к совершению звонков здесь отказались из-за пугающей формулировки. Гороховский расписывает юзкейсы для остальных разрешений:

  • к хранилищу – для загрузки документов при регистрации или загрузки дополнительных документов в банк;
  • к контактам –  для идентификации, кто из контактов клиента – клиенты банка, чтобы отобразить их в списке для переводов;
  • к геолокации –  изначально для отображения ближайших терминалов, отделений и т.д. Сейчас она нужна центру безопасности для защиты платежей. Отключить ее можно, но тогда не будет работать антифрод.
Читайте также:  В Японии ввели штрафы за пьяное управление дронами

“Но если вы включите настройку безопасности “отклонять платежи, если страна не совпадает”, нам нужна геолокация для этой функции. И мы явно запрашиваем ее через API операционной системы”, – резюмирует сооснователь Monobank.

Приложение от Альфа-Банка просит доступ к контактам, чтобы не вбивать руками номер человека, которому вы хотите пополнить счет или перевести деньги. В будущем это хотят задействовать для перечислений клиентам других банков. К памяти телефона – для хранения графических элементов интерфейса и корректной работы некоторых функций приложения.

С геолокацией ОК, Альфа! работает аналогично Монобанку: показать ближайшие отделения и банкоматы, обеспечить безопасность. “Например, если локация клиента критически меняется за короткое время, это сигнал для запуска процессов с целью защиты денежных средств наших клиентов”, – объясняет Илья Боровов, вице-президент, глава управления электронного бизнеса Альфа-Банка Украина. Детали по антифроду здесь тоже не раскрывают.

И да, если отключить доступы, основной функционал приложения все равно будет работать.

Лаконичнее всего получилось с ПУМБ. Судя по скриншоту, приложению для работы вообще не нужны специфические доступы. И ничего, все работает. Правда, откомментировать, влияет ли это на защищенность платежей, в банке до публикации не успели.

Читайте также:  Китайцев обяжут сканировать лицо при покупке SIM-карт

Эксперты: безопасность – это важно, но принуждать к ней нельзя

Хорошо, пусть геоданные помогают банкам бороться с фродом. Но как именно?

“Первое – с их помощью система строит ваш обычный “маршрут покупок”. Например, вы можете несколько раз в неделю после работы покупать продукты в одном и том же магазине, и так много месяцев или даже лет подряд. Это все учитывает антифрод-система”, – рассказывает Алексей Швачка, эксперт по кибербезопасности, технический директор Октава Киберзахист.  

По его словам, интернет пестрит продажей так называемого “картона”, то бишь данными в формате “номер карты, срок действия, CVV”. Этих данных вполне достаточно для покупки в интернете. Но если система будет знать, что клиент в Киеве, то затормозит операцию по его карте из Ужгороде или Бангкока и переведет ее в ручной режим.

“Конечно, можно спорить о приватности данных. Но согласитесь, менее приятно быть обманутым мошенником, нежели передать информацию банку о своих перемещениях”, – аргументирует Алексей Швачка.

Ирина Артишук, эксперт по защите персональных данных компании Автор, считает использование точного местоположения излишней мерой.

“Более важный параметр защиты от фрода – IP-адрес, с которого клиент произвел вход в систему или транзакцию. Он же может быть использован для определения приблизительного местоположения клиента – а этого будет достаточно для антифрода”, – считает эксперт. Также можно анализировать историю входов с данного IP-адреса – является ли он доверенным, как, например, адрес домашнего компьютера.

Читайте также:  Круглосуточная и бесперебойная проверка текстов на уникальность на Антиплагиатус

А многочисленные доступы, которые требуют банковские приложения, по мнению Ирины Артишук, могут быть использованы для несанкционированного сбора персональных данных. И банки обязаны давать клиенту выбор.

“Запрашивая доступ, банк должен объяснить клиенту для каких целей или функционала требуется такой доступ. Если банк жестко требует доступ к геолокации, звонкам, СМС, камере, то тем самым он нарушает требования Закона Украины “О защите персональных данных” и GDPR, если банк обслуживает жителей Евросоюза”, – объясняет эксперт.

Алексей Швачка дополняет: современные антифрод-системы даже считывают метаданные ввода текста в онлайн-платежах. Например, скорость набора символов.

“Чаще всего мы сами помогаем мошенникам. У всех есть аккаунты в соцсетях, там есть и место работы, и наши фотографии. По этим данным совершенно спокойно можно узнать местонахождение вашего рабочего места и ваш график. При грамотном использовании этих данных мошенник может “имитировать” вас. И ни один антифрод в этом случае не поможет”, – объясняет эксперт Октава Киберзахист.

Евгений Шишацкий

корреспондент ЛІГА.Tech

Источник: Лига

  •  
  •  
  •  
  •  
  •  
  •