Digital Transformation: Блокчейн в банке

В этот чудесный пятничный день мы продолжаем рассказывать вам о технологических особенностях цифровой трансформации. Сегодня поговорим о том, как технология блокчейн может способствовать развитию удаленной идентификации на примере одного банка.

Цикл статей «Digital Transformation»

Технологические статьи:
1. Начало ^[1].
2. Лотерея в облаке ^[2].
3. Блокчейн в банке. ^[3]
4. Loading…

Серия интервью с Дмитрием Завалишиным на канале DZ Online ^[4]:
1. Александр Ложечкин из Microsoft: Нужны ли разработчики в будущем? ^[5]

Удалённая идентификация: юридические особенности

Проблемы удаленной идентификации в той или иной мере решаются различными способами. В некоторых случаях достаточно осуществлять идентификацию с помощью социальных сетей или через телефонный номер. Но её юридическая значимость появляется только тогда, когда в ней принимают участие операторы персональных данных, определенные в 115-ФЗ. При этом специфика российского законодательства на текущий момент заключается в том, что не все услуги могут быть оказаны с применением удаленной идентификации. Банкам сейчас доступны только переводы без открытия счёта.

Однако, не всё так плохо. Например, законопроектом предусмотрены поправки в 115-ФЗ, которые позволяют банкам открывать счета клиентам, идентифицируя их удаленно. Но при этом клиент обязательно должен быть первично идентифицирован с личным присутствием, а его персональные данные помещены в ЕСИА. Таким образом ЕСИА обеспечивает возможность аутентификации (в том числе по биометрическим параметрам) и передачу персональных данных сервису. При этом возникают некоторые риски, связанные с согласием клиента (и с отзывом этого согласия) на передачу ПД третьим лицам, а также централизованным хранением ПД. Дополнительно появляются технологические сложности в обновлении дескриптора биометрических параметров.

Но давайте не будем вдаваться в эти подробности биометрической идентификации, а лучше разберем, как технология блокчейн может способствовать развитию удаленной идентификации.

Проблемы идентификации

Основными задачами идентификации являются:

• получение идентификационных сведений о клиенте;
• проверка корректности данных, предоставленных клиентом;
• подтверждение того, что предоставленные данные соответствуют человеку, который их передал.

Но при проведении процедуры удаленной идентификации возникают сложности с подтверждением соответствия персональных данных клиенту, который их отправил. Трудности связаны с тем, что на данный момент на рынке нет удобного инструмента, который позволил бы бизнесу проводить эту процедуру без личного присутствия клиента и предъявления им паспорта.

Есть категории организаций, услуги которых получают почти всё население страны – это банки, мобильные операторы. Подписывая договор с клиентом, эти организации проводят первичную идентификацию, то есть получают персональные данные клиента при его личном присутствии и при предъявлении паспорта. Соответственно, в дальнейшем эти организации могут подтверждать корректность персональных данных и принадлежность этих сведений человеку, который их предоставил.

В процессе удаленной идентификации участвуют три стороны:

• организация (реципиент), которая хочет удаленно идентифицировать своего клиента;
• организация (донор), которая проводила первичную идентификацию, например, банк;
• физическое лицо, которое хочет получить услугу у реципиента.

Процесс удаленной идентификации можно организовать с полной передачей реципиенту персональных данных от донора с использованием протокола OAuth 2.0. Но такое решение имеет ряд проблем:

• недоверие участников друг к другу в части фиксации факта проведения идентификации;
• необходимость выстраивания интерфейсов «каждый с каждым»;
• передача, обработка и хранение персональных данных.

Первая проблема заключается в том, что в данном процессе потребуется третья сторона, которая будет фиксировать факт передачи данных. Это влечет за собой дополнительные расходы на создание посредника, которому будут доверять обе стороны, и расходы на комиссию посреднику за проведение удаленной идентификации.

Вторая проблема связана с тем, что при наличии большого количества поставщиков персональных данных потребителям сервиса необходимо выстраивать взаимоотношения с каждым из них.

Третья проблема связана с рисками несоответствия Федеральному закону № 152 «О персональных данных».

Однако, применив принцип интероперабельности систем консорциума организаций, который предполагает наличие продуктов или систем с открытыми интерфейсами, и использовав технологию блокчейн, можно решить эти проблемы. При этом открываются широкие возможности для финтеха по доступу к банковской аудитории и банковской инфраструктуре. И это только на первый взгляд.

Если подумать шире, то смарт-контракты значительно расширяют возможности технологии по выстраиванию доверительных отношений. К блокчейну можно прикрутить удостоверяющий центр как с помощью доверенного оракула, так и реализовав российскую криптографию на уровне ядра. Тогда участники смогут получать квалифицированную электронно-цифровую подпись (которая по умолчанию является аналогом собственноручной подписи) и заключать юридически значимые контракты.

Решение

Данное решение реализует механизм удаленной идентификации на технологии Blockchain. Благодаря ему организациям не нужно делиться персональными данными, а каждая операция будет фиксироваться в неизменяемой блокчейн-цепочке.

Участники процесса (см. рисунок):

• клиент — физическое лицо, которое хочет получить услугу у организации;
• банк — кредитная организация, в которой клиент проходил процедуру первичной идентификации с личным присутствием;
• организация — организация, в которую обратился клиент и которая хочет получить услугу удаленной идентификации у банка для предоставления услуги клиенту.

Процесс:

1. банк формирует для клиента пару значений, которая состоит из хеша токена и хеша сложенных между собой персональных данных клиента и токена, после чего помещает эту пару значений в смарт-контракт;
2. клиент обращается за услугой в организацию;
3. организация предоставляет клиенту интерфейс для ввода персональных данных и выбора организации, в которой клиент хотел бы идентифицироваться (в нашем случае это банк);
4. переадресация клиента на интерфейс дистанционного банковского обслуживания (предполагается интернет-банк) для прохождения аутентификации (авторизации);
5. банк проводит аутентификацию по собственному механизму (двухфакторная, биометрия и т. д.);
6. при успешном прохождении клиентом аутентификации, банк шифрует открытым ключом организации токен клиента;
7. отправка в организацию зашифрованного токена клиента через смарт-контракт для фиксации факта передачи токена;
8. формирование сообщения с зашифрованным токеном и передача его организации;
9. получение и расшифровка с помощью закрытого ключа токена;
10. формирование и отправка запроса с хешем токена и хешем сложенных между собой персональных данных, предоставленных клиентом через интерфейс организации, и токена;
11. сверка данных, размещенных банком в смарт-контракте, и данных, переданных организации;
12. в случае успешной сверки смарт-контракт фиксирует факт успешной сверки и отправляет ответ организации;
13. организация получает ответ об успешной идентификации клиента;
14. организация предоставляет услугу клиенту.

Заключение

Данная система позволит кардинально изменить рынок дистрибуции услуг в цифровых каналах, открыть клиентам банков широкий доступ к продуктам и сервисам сторонних организаций — участников консорциума без необходимости личного посещения для идентификации. Прототип решения создан на базе облачной платформы Azure Blockchain as a Service от Microsoft.

Консорциум позволяет обеспечить выполнение основных процессов, необходимых для проведения идентификации:

• «получение идентификационных сведений о клиенте» — получение персональных данных непосредственно от клиента;
• «подтверждение достоверности полученных сведений» — сравнение значений хеш-функций, хранящихся в блокчейне, с рассчитанными в моменте;
• «удостоверение (верифицирование) личность клиента» — аутентификация в банке, который проводил первичную идентификацию клиента.

Персональные данные в данном процессе не передаются третьей стороне (остаются только у донора и реципиента). При этом, использование технологии блокчейн не только обеспечивает хранение и неизменность информации о всех проведенных процедурах идентификации. Принцип смартконтрактов позволяет выстроить прозрачную монетизацию сервиса и повысить эффективность взаимодействия участников. А за счёт децентрализации снижается риск компрометации персональных данных, а также повышается отказоустойчивость системы.

Подробнее про реализацию проекта вы можете узнать на GitHub ^[6].

Об авторе

Александр Васильев — заместитель директора департамента ИТ по инновациям РосЕвроБанк, смотрит в будущее, слушает Nightwish, верит в блокчейн.

P.S. Благодарим Костю Кичинского (Quantum Quintum ^[8]) за иллюстрацию к этой статье.

Автор: Александр Гуреев

Источник ^[9]