Технологии подписания поручений для мобильных брокеров

Инвестиционные продукты становятся все популярнее на фоне низких процентных ставок по классическим депозитам при высоком уровне инфляции. Прежде всего — брокерские услуги специализированных компаний и универсальных банков. Конечно, для непрофессионального трейдера развертывание специализированных десктоп торговых терминалов — непозволительная роскошь, все стремятся к простоте мобильных приложений, доступных в любое время в любом месте.

Благодаря онлайну финансовые рынки теперь доступны каждому.

Здесь можно прокачать знания в финансовой грамотности и применить их на практике. Сайт брокерской компании или мобильное приложение доступно в любой точке мира. Нужно только пройти авторизацию — и сразу становишься участником торгов, начинаешь покупать и продавать акции, облигации, фьючерсы, валюту и другие активы. Плюсом таких приложений является и тот факт, что они обладают дополнительными фичами, которые облегчают пользовательские запросы. Например, можно выстраивать собственную стратегию действий с помощью встроенных инструментов анализа рынка и рекомендаций экспертов. Все это можно посмотреть на сайте, отфильтровав нужные параметры.

Основное преимущество работы с мобильным трейдингом, кроме того, что это быстро и доступно в любой точке мира — возможность выполнять сделки без участия трейдера.

Но в данном случае возникает проблема, о которой немногие задумываются — безопасность. Хакеры в данном случае могут взломать систему и получить доступ к персональным данным. Так они смогут управлять вашими финансовыми операциями.

Информационные и торговые — в чем отличие?

Для того, чтобы понимать, как защитить себя от хакерских атак, нужно знать, какие существуют виды сервисов. Глобально функционал трейдинговых приложений можно разделить на два вида — информационные и торговые.

Для информационных сервисов допустима защита только на основе авторизации/аутентификации на входе в приложение. В этом случае разработчикам рекомендуется использовать два фактора — классический логин/пароль плюс подтверждение по SMS-коду или с использованием биометрических данных (Touch ID, Face ID и тд.).

Один фактор защиты можно использовать, если телефон дает возможность защититься от несанкционированного доступа в момент включения устройства или его перевода из спящего в рабочий режим.

Вторая группа — это активные операции, передача поручений брокеру на покупку или продажу тех или иных активов.

Операции, которые проводятся в трейдинговых приложениях торгового вида требуют более серьезной защиты.

Если злоумышленники проникнут в них, то это может привести к финансовым потерям. Конечно, данные манипуляции менее опасны, чем при несанкционированном доступе к банковскому приложению, но также могут быть достаточно неприятны для клиента. При этом надо иметь в виду, что при активном использовании приложения в период торговой сессии, у клиента может возникнуть потребность совершения большого количества операций в ограниченный промежуток времени, а от скорости выполнения поручений будет зависеть уровень доходности.

В этом случае ввод контрольного кода из SMS или использование биометрических данных будет сильно тормозить работу. Это будет отвлекать от основного процесса торговли и доставлять неудобства пользователю. В данном случае мы сталкиваемся с классической проблемой «борьбы брони и снаряда», чрезмерное бронирование утопит корабль, недостаточное — не сможет защитить, необходимо придерживаться уровня разумной достаточности.

Кроме безопасных технологий в приложении нельзя забывать о других средствах защиты — использовать обновленные антивирусные программы, не передавать данные по открытым каналам, проверять сертификат SSL, ограничивать количество вводов PIN-кода и разовых кодов.

Опыт разработки и эксплуатации приложений показал, что компромисс может быть достигнут. Уровень защищенности при этом будет сильно зависеть не только от технических средств защиты, но и от дисциплины пользователя. Человек в любой системе информационной защиты — самое слабое звено. Для удобства на какой-то заданный промежуток времени (например, 15 – 20 мин) может быть установлен торговый пароль, который автоматически легитимно подписывает все торговые поручения в данном интервале. Пользователь должен понимать, что данный период как дает ему возможность быстрого и удобного совершения операций, так и возлагает на него ответственность за защиту своего устройства от злоумышленников. И также достаточно популярна автоматическая обработка внутри приложения разовых кодов, принимаемых через push-уведомления или SMS.

Соблюдение этих несложных правил на этапах разработки и использования трейдинговых мобильных приложений позволит комфортно управлять инвестициями и избежать финансовых потерь из-за действий злоумышленников.

Теория — это хорошо, а как это работает в реальности?

Появление портала «Госуслуги» позволило рынку инвестиций выйти в веб-пространство. Портал дал возможность получать электронный доступ к документам, удостоверяющим личность. Поэтому теперь клиенты банков не предоставляют документы лично сотрудникам, а вводят в систему, которая умеет сопоставить их с данными на «Госуслугах».

Теперь все стало мобильным, и операции происходят где угодно с помощью смартфона. Для открытия брокерского счета достаточно пары кликов, не нужно ходить в банки и подписывать стопки бумаг.

Разберемся, как же происходят процедуры подписания поручений в разных финансовых компаниях.

Не во всех банках можно открыть инвестиционный счет, если вы не являетесь клиентом этого банка.

Например, в «Открытии», счет может открыть любой желающий, предстоит только зарегистрироваться на портале «Открытие Инвестиции» или в приложении. Но стоит понимать, что тем, кто не является клиентом брокерской компании, придется заполнять личные данные вручную.

Для подписания поручения следует установить торговый пароль, который пользователь задает при регистрации в приложении, либо сформировывает потом через настройки. В приложении «Открытие Инвестиции» есть возможность подавать торговые поручения на фондовом, срочном и валютном рынках Московской биржи (кроме опционных контрактов). И для подписания поручения, нужно зайти в соответствующий раздел приложения и подтвердить операцию паролем. В приложении также доступны функции «отменить» и «повторить» для тех поручений, которые выполнялись только в приложении.

В «ВТБ» заниматься инвестициями может только клиент банка, при этом процедура регистрации ускоренная. Для подачи поручения нужно будет подтвердить действие ПЭП (простой электронной подписью), либо усиленной электронной подписью. В первом случае это одноразовый код, который придет на номер телефона в виде SMS, его нужно будет ввести в специально отведенное место, затем нажать кнопку «подтвердить операцию». Усиленная неквалифицированная электронная подпись (НЭП) представляет собой постоянный набор цифр, создается с помощью программ криптошифрования с использованием закрытого ключа электронной подписи. С помощью НЭП можно проверить, вносили ли в файл изменения после его отправки. Если она у вас есть, то вводите ее, соглашаясь на обработку данных.

В мобильном брокере Halyk Invest для того, чтобы подписать поручение, приложение требует ввести фамилию и имя в заранее заполненную форму — дополнительная контрольная точка. В этот момент система просит проверить данные еще раз. Перед тем как прислать подтверждающий код в виде SMS, алгоритм проверяет доступность операции у определенного пользователя.

Существуют и альтернативные сценарии развития событий, можно вернуться и изменить детали заявки, либо из этого раздела сразу же перейти в «Новости» или «Мой профиль». В случае, если операцию невозможно осуществить или торги еще недоступны, пользователь получает соответствующее оповещение.

Важно отметить, что финансовые компании в своих договорах указывают пункт о том, что за действия, которые происходят в личных кабинетах, несут ответственность владельцы. Поэтому не забывайте о личных правилах безопасности, чтобы не попасть в сети злоумышленников.

Добавить комментарий

%d такие блоггеры, как: