Термины и определения

Владелец ключа подтверждения – лицо, на чьё имя была сгенерирована ключевая информация для подтверждения транзакций/подписания документов.

Организация, выдающая ключевую информацию – организация, использующая комплекс PayControl для подтверждения транзакций или подписания документов электронной подписью клиентами организации или работниками организации.

Риски

PayControl, являясь удобным средством подтверждения транзакций и подписания документов, также повышает и уровень безопасности при использовании этого средства. Однако, даже самый надёжный сейф не сможет уберечь ценности, если оставлять его открытым, либо передать ключи и пароль неблагонадёжному лицу, либо оставить их без присмотра в доступном для других месте. Ниже перечислены примеры рисков, которые могут реализоваться при несоблюдении элементарных рекомендаций по безопасности.

Подтверждение против воли владельца ключа

PayControl позволяет подписывать документы электронной подписью. Такая подпись имеет юридическую силу и признаётся аналогом собственноручной подписи (Федеральный закон от 06.04.2011 N 63-ФЗ) при соблюдении ряда условий. Таким образом, если кто-то за Вас решит что-либо подтвердить или подписать, при возникновении спорной ситуации будет считаться, что это сделали именно Вы, по своей воле.

Невозможность подтверждения

Удаление ключа из мобильного приложения PayControl также может негативно сказаться на возможности подтверждения платежа или подписании документов с помощью PayControl на некоторый период. В случае непреднамеренного удаления ключа с мобильного устройства, возможно, потребуется обратиться в организацию, выпустившую удалённый ключ.

В некоторых случаях останется возможность использовать полученный ранее QR-код, содержащий ключевую информацию. Такая возможность зависит от параметров ключа, устанавливаемых организацией, которые, в свою очередь, выбираются исходя из соображений обеспечения приемлемого уровня безопасности и удобства пользователя.

Рекомендации

Во избежание реализации описанных рисков, разработчиком комплекса PayControl, компанией СэйфТек, рекомендуется выполнять приведённые ниже требования, что в свою очередь повысит уровень безопасности Ваших данных, хранящихся на устройстве. Однако, организация, выпустившая для Вас ключ подтверждения, может предлагать свои рекомендации, а также предъявлять требования, исходя из их оценки рисков и принятой модели противодействия угрозам, а также исходя из особенностей организации бизнес-процессов, прямо или косвенно затрагивающих использование PayControl.

• Для разблокировки устройства должен быть включён, как минимум, один из способов защиты от несанкционированного доступа к функциям устройства и хранящихся на нём данным, например (в порядке убывания стойкости защиты):
  • средство распознавания отпечатка пальца или лица;
  • пароль;
  • графический ключ;
  • пин-код.
• В случае, если при запуске приложения PayControl будет выведено сообщение, о том, что на устройстве обнаружено ПО (приложение или приложения), представляющее угрозу, и Вы не уверены в надёжности этого ПО, то необходимо удалить перечисленные в этом сообщении приложения, и лишь после этого продолжать работу с PayControl.
• При добавлении ключа в приложение PayControl рекомендуется установить способ защиты ключа с использованием системы распознавания отпечатка пальца или лица, а при отсутствии такой системы на устройстве — пароль, стойкий к подбору злоумышленником. Это позволит предотвратить ненадлежащее или злонамеренное использование PayControl.
• Не передавайте устройство с установленным приложением PayControl третьим лицам и не оставляйте его без присмотра в местах, в которых к устройству могут получить доступ лица, имеющие негативные намерения. Даже если никто не желает сделать что-либо плохое — это может получиться случайно: например ребёнок в силу возраста, или другое лицо по неосторожности не имеющее представления о серьёзности производимых им действий из-за недостаточной информированности.
• Не используйте PayControl на устройствах, на которых были получены права root («рутованые» устройства) или произведён «джейлбрейк» (англ. jailbreak) устройства.
• На устройствах под управлением ОС Android используйте средства защиты от вредоносного ПО («антивирусное программное обеспечение»).
• На устройствах под управлением ОС Android необходимо убедиться, что отключена возможность установки из непроверенных источников. Если опция включена - отключите её.
• На устройстве не должно быть установлено корневых сертификатов PKI, полученных из ненадёжных источников.