Рубрика «банк»

Суд в России дело долгое, но в Европе ещё дольше. Нашим судебным разбирательствам с ВТБ уже почти два года, и история ещё не закончилась. Полагаю, что до финала мы дойдём ещё через 1-2 года. Но возможно у ВТБ сейчас проснётся совесть, они публично признают, что были дико неправы, принесут извинения и пообещают, что больше никогда не будут ни так, ни как-либо иначе злоупотреблять правом и нагибать своих клиентов. Правда, фильм “Яхта, самолёт, девушка” посмотрели 13 миллионов человек, и никакой совести ни у кого не проснулось.

Читать полностью »

...и не смог уволить сотрудника, который был в этом виноват. 

Автор: Артём Наливайко.

Есть такой замечательный французский банк – Societe Generale. Точнее не банк даже, а финансовая группа, но не суть. Каждый год правление банка рассылает сотрудникам письмо с кратким рассказом о результатах года. Меняются события, история, менеджмент. Лишь одно имя уже много лет остаётся неизменным.

«В этом году Societe Generale близок к тому, чтобы закрыть убытки, нанесённые действиями Жерома Кервьеля».

Башни SG в ПарижеЧитать полностью »

Обезл***вание д***ных — это не просто рандомизация - 1

В банке есть проблема: нужно давать доступ к базе данных разработчикам и тестировщикам. Есть куча клиентских данных, которые по PCI DSS требованиям Центробанка и законам о персональных данных вообще нельзя использовать для раскрытия на отделы разработки и тестирования.

Казалось бы, достаточно просто поменять всё на какие-нибудь несимметричные хеши, и всё будет хорошо.

Так вот, не будет.

Дело в том, что база данных банка — это множество связанных между собой таблиц. Где-то они связаны по ФИО и номеру счёта клиента. Где-то по его уникальному идентификатору. Где-то (тут начинается боль) через хранимую процедуру, которая вычисляет сквозной идентификатор на основе этой и соседней таблицы. И так далее.

Обычная ситуация, что разработчик первой версии системы уже десять лет как умер или уехал, а системы ядра, запущенные в старом гипервизоре внутри нового гипервизора (чтобы обеспечить совместимость) ещё в проде.

То есть прежде чем всё это обезличить, сначала надо разобраться в базе данных. Читать полностью »

В каком виде к вам поступает задача? Это устное описание менеджера, схема на флипчарте или ТЗ заказчика? Для нашей команды разработки — это пользовательская история. И выглядеть она может так: «Я как владелец бизнеса хочу видеть счета в мобильном приложении». Из истории следуют вопросы: «Какая информация мне нужна? Что должны видеть мои сотрудники? Почему я использую мобильное приложение, а не интернет-банк?».

Чтобы пользователь получил желаемое, за лаконичной формулировкой истории должна скрываться глубокая продуктовая аналитика. О том, что не лежит на поверхности читаем под катом.

“Есть все, что нужно, и ничего не бесит” — устами клиента глаголет истина - 1


Читать полностью »

image
Девять лет назад я написал заметку про то, как не быть обманутыми злыми буратинами. Всё, что там написано не потеряло актуальности, и сегодня мы рассмотрим попытку выбрать банк читая бумаги, а не рекламу. В данной заметке рассмотрены ВТБ, Альфа Банк, Авангард. По этим банкам приведены цитаты из действующих на 22.08.2019 договоров и оценочные суждения автора о приемлемости и удобстве предлагаемых договоров. В целом автор рассмотрел уже 8 банков из топа, и там тоже всё плохо. Рассматриваются только условия договоров, не учитывая процентов по кредитам, депозитам и иные потребительские качества банка.

В моём менеджменте персональных и семейных финансов фигурирует три разных категории финансов:

1. Оперативные финансы — карточка и наличные которыми я пользуюсь ежедневно, магазины, интернет покупки и тп. Ключевые параметры: удобство пользования, качество поддержки, кешбек.

2. Оперативный резерв — вклад в рублях и валюте размещённый на депозитном счёте. Нужен для размещения более крупных сумм чем оперативные финансы, но более надёжно. Ключевые параметры: максимальная ликвидность, надёжность в юридическом плане, защищённость от подделки сим и т.п. удалённых мошеннических действий, диверсификация валют, доходность.

3. Инвестиции — различные инвестиционные средства, долговременные. Недвижимость, акции, облигации и тп. Ключевые параметры такие же как у оперативного резерва, кроме ликвидности. Не вижу смысла играть в высокодоходные инвестиции которые может упереть девочка в салоне ООО «Дядя Вася» по франшизе сотового оператора.

В данном случае я выбирал банк для второй категории.
Читать полностью »

Привет!

Меня зовут Александр, и я руковожу ИТ разработкой в УБРиР!

В 2017 году мы в центре развития сервисов информационных технологий УБРиР поняли, что пришло время глобальных изменений, а точнее — agile-трансформации. В условиях интенсивного развития бизнеса и быстрого роста конкуренции на финансовом рынке два года – внушительный срок. Поэтому пришло время подвести итоги проекта.

Самое сложное – менять свое мышление и постепенно культуру в организации, где принято рассуждать: «а кто будет начальником в этой команде?», «начальник лучше знает, что нам нужно делать», «мы здесь работаем уже 10 лет и знаем лучше наших клиентов, знаем, что им нужно».

Agile-трансформация может произойти только, когда в ней меняются сами люди.
Я бы выделил следующие ключевые страхи, мешающие людям меняться:

  • Страх потерять власть и “погоны”;
  • Страх стать не нужным для компании.

Встав на путь трансформации, мы выбрали первых «опытных кроликов» — сотрудников retail-направления. Первым делом провели редизайн неэффективно работающей структуры ИТ. Придумав целевой концепт структуры, приступили к формированию команд разработки.

Как в условиях трэшевой архитектуры и отсутствия навыков в Scrum мы создали кросс компонентные команды - 1
Читать полностью »

Фишинговый сайт должен выглядеть достаточно правдоподобно и соответствовать какой-либо легенде злоумышленников. Нередко в качестве легенды выбирают что-нибудь связанное с безопасностью, такие ресурсы вызывают больше доверия у потенциальных жертв. И вот вам свежий пример такого подхода: sbersecure.ru.

События вокруг сайта развивались стремительно. Доменное имя было зарегистрировано вечером 16 апреля, а на следующий день на нем уже красовался фишинговый сайт. Изначально в качестве DNS были указаны сервера российского хостера Hostlife, однако, спустя всего 9 часов в NS-записях появились адреса CloudFlare, компании, не нуждающейся в представлении. 17 апреля в 15 часов по московскому времени ресурс обзавелся сертификатом шифрования, выданным все той же CloudFlare.

image

Познакомимся с фишинговым сайтом поближе.
Читать полностью »

Сотрудник UBS подслушал разговор соседа по поезду Eurostar и узнал о сделке на $15 млрд. Теперь его и банк оштрафуют - 1

Изображение: Isriya Paireepairit | CC BY-NC 2.0

В середине июля 2014 года сотрудник компании Lazard Ltd. Винесент Ле Страдик (Vincent Le Stradic) путешествовал на поезде из Лондона в Париж. Он обсуждал с коллегами готовящуюся сделку – покупку американского провайдера T-Mobile французской компанией Iliad SA, принедлежащей миллиардеру Ксавье Ньелю (Xavier Niel).

Его соседом оказался банкир из UBS Александр Залуски (Alexandre Zaluski). Он подслушал разговор Ле Страдика, и передал информацию о возможной сделке своему начальству. В итоге UBS предложили Ньелю кредит на осуществление сделки.

Это не понравилось управлению по финансовым рынкам Франции – теперь, как пишет Bloomberg, штрафы за использование приватной информации грозят как самому банку UBS, так и его сотруднику.Читать полностью »

В прошлом году украинский банк из ТОП-10 пригласил меня протестировать свои системы интернет- и мобильного банкинга на предмет уязвимостей.

Первым делом я решил начать с отслеживания запросов мобильного приложения. С помощью Fiddler (Burp или Charles) я начал рассматривать каждый запрос приложения, выполняя по очереди все доступные в своём аккаунте операции. Мобильный банкинг не был защищён SSL-pinning, поэтому это не составило особого труда.

В GET и POST-запросах я пытался подменять параметры, чтобы получить искомое, но достаточно долго мне это не удавалось – я получал ошибки вида «Доступ запрещён». Однако я таки нашёл нужные мне запросы.

Например:
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js