Аутентификация веб-сайтов для финансовых учреждений

28.05.2019

Когда вы посещаете веб-сайт своего финансового учреждения, будь то банк, страховое агентство, брокерская компания или компания, выпускающая кредитные карты, сайт, скорее всего, использует сертификат расширенной проверки (EV) для обеспечения безопасности своего общения и подтверждение своей личности перед пользователями. Ваш браузер покажет блокировку шифрования в адресной строке, а также название компании. Иногда она может быть выделена зеленым цветом, все будет зависеть от вашего браузера. Это говорит пользователю, что личность компании была проверена с подробной информацией, содержащейся в сертификате, включая ее физический адрес, страну и тип регистрации бизнеса.

Финансовые учреждения всегда были мишенью для мошенников из-за ценности информации и активов, которые они содержат. Из-за этого банки и другие финансовые учреждения признают, что идентичность и ценность, которую сертификат EV  обеспечивает своим клиентам, очень важны.

Тем не менее, аутентификация веб-сайта это лишь один из случаев использования сертификатов EV.

Но прежде чем мы обсудим другие варианты использования, давайте подведем итог, почему финансовые учреждения используют сертификат EV:

  1. Борьба с мошенничеством. Финансовые учреждения хотят помочь своим пользователям убедиться, что они находятся на настоящем и правильном веб-сайте. Для мошенников сертификат EV является более сложным и дорогостоящим, что и снижает вероятность того, что сайт с сертификатом EV будет поддельным.
  2. Хотя шифрование очень важно (чтобы гарантировать, что конфиденциальная информация не испорченная), но идентификация имеет первостепенное значение. Зачем что-то шифровать, если вы не уверены в том, кто это получит? Что делать, если кто-то вмешался в разговор, чтобы перехватить коммуникацию? Да, она зашифрована. Но без идентификации, пользователи могут быть обмануты ложным чувством безопасности.
  3. Финансовые учреждения являются объектами мошеннических писем, которые направляют пользователей на фальшивые веб-сайты. Все, что может помочь отличить настоящий веб-сайт от поддельного, привлекательно для организаций, борющихся с мошенничеством.
  4. Защита бренда: организациям нравится, когда их бренд выделяют и защищают с помощью EV-сертификата.

Для чего еще можно использовать  EV-сертификаты?

Сертификаты EV широко используются, помимо аутентификации веб-сайтов в кибербезопасности. ИТ-отделы используют EV-сертификаты для таких вещей, как проверка веб-сайтов, принадлежащих компании, добавление правил для внутренних межсетевых экранов и настройка управляемых служб безопасности, а также внутреннего аудита и соответствия требованиям.

В Европейском Союзе EV-сертификат играет другую роль. В 2016 году ЕС принял новый регламент под названием eIDAS, который обновляет Закон о цифровой подписи ЕС 1999 года. В рамках этого обновления регламент определил квалифицированные сертификаты аутентификации веб-сайтов (QWAC). Они основаны на сертификатах EV с добавлением некоторой дополнительной информации. Дальнейшее регулирование, называемое Директивой о платежных услугах (PSD2), требует использования QWAC некоторыми финансовыми учреждениями, ведущими бизнес в ЕС. Это вступит в силу  только в июне 2019 года, а центры сертификации уже получают запросы на этот продукт от банков из ЕС и других финансовых организаций, ведущих бизнес в Европе.

Чтобы защитить конечных пользователей, продолжается работа по обеспечению самых высоких стандартов проверки личности для онлайн-бизнеса. В первую очередь это касается браузера, в котором продолжаются противоречивые взаимодействия с пользователем..

Единственная проблема со всем, что здесь упомянуто, это то, что люди используют программное обеспечение для просмотра веб-сайтов - браузер. Опыт работы с веб-сайтами EV сегодня крайне противоречив. Некоторые отображают название компании зеленым цветом, другие - серым. Одни не отображают название компании вообще, а доменное имя отображают зеленым. Некоторые обещают изменения в интерфейсе, а другие ничего не меняют годами.

На какие улучшения мы можем надеяться?

  1. Постоянный пользовательский интерфейс для сайтов с поддержкой EV-сертификатов;
  2. Четкая и понятная информация для пользователей;
  3. Жесткие требования и аудит для проверки информации, чтобы убедиться, что она правильная и уникальная;
  4. Добавлена к сертификатам дополнительная информация о проверке EV.

По причинам указанным выше, остается полезным использование EV-сертификатов для финансовых и других дорогостоящих сайтов чтобы провозгласить свою личность (независимо от того, установлена она или нет), потому что что хорошего в шифровании, если мы не знаем, с кем мы совершаем сделки?



« Назад

Powered by WHMCompleteSolution