Sigurnost PBZCOM@NET usluge

Zbog otvorenosti i sveopće dostupnosti Interneta, u svakom se poslovanju koje ga koristi kao medij posebna pozornost mora posvetiti sigurnosti i pouzdanosti. Najveću prepreku Internet poslovanju čini nepovjerenje korisnika u sigurnost usluga koje obavljaju preko kanala dostupnog svima. Upravo je zbog toga tijekom projektiranja i razvoja PBZCOM@NET usluge sigurnost postavljena kao temelj cjelokupnog sustava. U tu svrhu primijenjena je PKI infrastruktura, najsuvremenija svjetska tehnologija koja postavlja standarde u sigurnosti i pouzdanosti Internet poslovanja.

Sigurnost PBZCOM@NET usluge sastoji se od sljedećih nekoliko segmenata:

  • elektronički potpis
  • autentičnost Privredne banke Zagreb na Internetu
  • zaštita podataka tijekom njihova prolaska Internetom
  • zaštita informacijskog sustava Privredne banke Zagreb

Elektronički potpis je najopsežniji i najvažniji segment sigurnosti usluge PBZCOM@NET. S pomoću elektroničkog potpisa vrši se identifikacija korisnika i elektroničko potpisivanje dokumenata koje klijenti razmjenjuju s Privrednom bankom Zagreb. Prema Zakonu o elektroničkom potpisu, elektronički potpis je "skup podataka u elektroničkom obliku koji su pridruženi ili logički povezani s drugim podacima u elektroničkom obliku i koji služe za identifikaciju potpisnika i vjerodostojnosti potpisanoga elektroničkog dokumenta".

Za elektroničko potpisivanje koristi se PKI (Public Key Infrastructure) tehnologija, koju je Privredna banka Zagreb uspješno implementirala. PKI tehnologija temelji se na pametnim karticama (Smart Card) s certifikatima koje svaki korisnik PBZCOM@NET usluge dobiva u procesu certifikacije. Za korištenje pametne kartice potreban je PIN (Personal Identification Number), koji posjeduje samo korisnik - vlasnik pametne kartice. Zaštita i čuvanje pametne kartice i PIN-a obaveza su svakog korisnika PBZCOM@NET usluge.

Sam proces certifikacije korisnika odvija se osobno (face-to-face) i podrazumijeva pouzdano identificiranje korisnika prije nego što mu se izda pametna kartica s certifikatom. S pomoću pametne kartice i instaliranog čitača pametnih kartica, korisnik se prijavljuje u PBZCOM@NET aplikaciju te potpisuje svaki dokument (financijski ili nefinancijski nalog) koji se razmjenjuje s Privrednom bankom Zagreb.

Tijekom ulaska u aplikaciju korisnik elektronički potpisuje slučajan niz podataka koje mu poslužitelj Privredne banke Zagreb šalje. Aplikacija nakon toga provjerava elektronički potpis slučajnog niza te utvrđuje tko je korisnik koji se u aplikaciju prijavljuje. Tako se provode sljedeće sigurnosne provjere:

  • posjeduje li korisnik valjanu pametnu karticu (provjera nečega što korisnik ima)
  • posjeduje li korisnik PIN za korištenje pametne kartice (provjera nečega što korisnik zna)
  • slučajni niz koji se potpisuje onemogućava kopiranje već korištenog potpisa za ulazak u aplikaciju

Svaki nalog koji se kreira prije izvršavanja elektronički potpisuje jedan ili više korisnika. Time se osigurava neporecivost, odnosno onemogućava pobijanje činjenice o kreiranju i slanju naloga.

Tehnologija elektroničkog potpisa (za one koji žele znati više!)

Elektronički potpis temelji se na kriptografiiji javnim ključem (Public Key Cryptography). Svaki korisnik posjeduje svoj jedinstveni par ključeva. Jedan je ključ iz para tajan ili privatan i njime se koristi samo njegov vlasnik. Drugi je ključ javan i dostupan svima. Ključevi u paru vezani su složenim matematičkim algoritmom (RSA algoritam) koji jamči da:

  • posjedovanjem javnog ključa nije moguće otkriti tajni ključ
  • sve što je kriptirano tajnim ključem moguće je dekriptirati samo javnim ključem i obratno

Drugim riječima:

  • sve što korisnik kriptira svojim privatnim ključem, bilo tko može dekriptirati njegovim javnim ključem i tako se uvjeriti da je baš korisnik taj koji je dokument kriptirao (nitko drugi ne posjeduje korisnikov tajni ključ)
  • što god se kriptira javnim ključem nekog korisnika, to može pročitati samo korisnik čiji je javni ključ upotrijebljen (samo on ima tajni ključ kojim to može dekriptirati).

Elektronički potpis temelji se na dvije gore navedene činjenice; na prvoj kako bi se dokazao identitet korisnika i onemogućilo pobijanje činjenice da je on nešto elektronički potpisao, a na drugoj kako bi se jamčila tajnost podataka koji su elektronički potpisani. Na žalost, postoji još jedan problem koji treba riješiti. Kako dokazati da je javni ključ nekog korisnika zaista njegov, a ne, primjerice, uljeza koji se lažno predstavlja? U tu se svrhu koriste certifikati. Prema Zakonu o elektroničkom potpisu, certifikat je "potvrda u elektroničkom obliku koja povezuje podatke za verificiranje elektroničkog potpisa s nekom osobom i potvrđuje identitet te osobe". Običnim rječnikom rečeno, certifikat povezuje korisnika s njegovim javnim ključem. Svaki certifikat elektronički je potpisao njegov izdavatelj, koji jamči da je osoba čiji su podaci upisani u certifikatu ujedno i vlasnik javnog ključa također sadržanog u certifikatu. Certifikate koji se koriste za elektronički potpis izdaje i elektronički potpisuje PBZ CA (Certification Authority Privredne banke Zagreb). PBZ CA izdaje korisnicima parove ključeva te jamči da je privatni ključ zapisan na pametnu karticu i predan osobi čiji su podaci zabilježeni u certifikatu zajedno s javnim ključem iz istog para.

Autentičnost Privredne banke Zagreb na Internetu

Kada se korisnik spaja na PBZCOM@NET aplikaciju, mora biti siguran da zaista komunicira s Privrednom bankom Zagreb, tj. njezinim Internet poslužiteljem (serverom). U tu svrhu poslužitelj PBZ-a posjeduje certifikat izdan od PBZ CA (Certification Authority Privredne banke Zagreb), istog ovjerovitelja certifikata koji ovjerava i korisničke certifikate izdane na pametnoj kartici. PBZ CA jamči da je certifikat zaista izdan Internet poslužitelju čiji naziv se nalazi u certifikatu. Znajući ovu činjenicu korisnik u svakom trenutku pristupanja aplikaciji PBZCOM@NET može provjeriti identitet poslužitelja s kojim komunicira klikom miša na ikonu lokota u donjem desnom uglu Internet pretraživača. U prikazanom certifikatu korisnik mora pročitati i provjeriti odgovara li naziv poslužitelja (Issued To:) upisanom nazivu u adresnom polju korisnikova pretraživača (browsera) iza "http://" ili "https://". U certifikatu korisnik također mora provjeriti vrijedi li certifikat (Valid from: - Valid to:) te je li status certifikata ispravan (Certificate Path - Certificate Status).

Zaštita podataka tijekom prolaska Internetom

Korištenjem tehnologije elektroničkog potpisa zaštićena je neizmjenjivost svih podataka koje korisnici i PBZ razmjenjuju preko Interneta. Kako bi se podaci koji se razmjenjuju zaštitili i od neovlaštenog čitanja, za njihov prijenos koristi se SSL protokol. Svi podaci koje korisnik izmjenjuje s poslužiteljem PBZ-a u svakom su trenutku enkriptirani (šifrirani) uporabom tog protokola. Enkripcija podataka obavlja se s pomoću tajnog ključa koji na slučajan način kreira korisnikov pretraživač, i to prigodom svakoga spajanja na poslužitelj. Tajni ključ dostavlja se poslužitelju zaštićen tehnikom enkripcije javnim i privatnim ključevima. Za uspješno uspostavljanje SSL veze s provjerom autentičnosti poslužitelja PBZ-a korisnik mora koristiti pretraživač novijeg datuma. Korisnik može provjeriti odgovara li njegov pretraživač zahtjevima tako da unutar naslovne web stranice klikne mišem na sličicu za provjeru pretraživača. Indikator uspješno uspostavljene SSL veze prikazuje se kao sličica zatvorenog lokota u krajnjem donjem dijelu korisnikova pretraživača.

Zaštita informacijskog sustava Privredne banke Zagreb

Poslužitelj i ostatak informacijskog sustava PBZ-a zaštićeni su od neovlaštenog pristupa s Interneta suvremenim sustavom vatrozida (Firewall). Vatrozid je posebna "pregrada" sa strogim i kontroliranim 24-satnim nadzorom protoka podataka. Najvažniji dio PKI infrastrukture za izdavanje certifikata i provjeru elektroničkog potpisa (PBZ Certification Authority) odvojen je radi dodatne zaštite od ostalog dijela informacijskog sustava posebnim vatrozidom.

Natrag na vrh stranice