Как переосмыслить агрегацию балансов — bankir. ru экономика хозяйство

Первый вопрос, который нам задавали: почему вы думаете, что клиенты станут отдавать вам логины и пароли от банков?

Сегодня мы имеем два сервера и два маркетплейса, которые в виде white label предлагаем рынку:

1. Сервер и маркетплейс «Балансы»

Это готовое решение для банков, крупных интернет-площадок, сотовых операторов, электронных кошельков и других игроков рынка.

Бизнес-модель: b2b2c. Мы предоставляем готовый маркетплейс, брендированый под партнера. Витрина может содержать нашу авторизацию или может быть встроена в авторизационную сессию партнера. Клиенты начинают пользоваться решением

бесплатно. Через некоторое время мы предоставляем ряд платных функций и зарабатываем вместе с партнером. До 80% выручки уходит партнеру. Кроме того, партнер (например, банк) может собирать с нашей помощью клиентские данные и с разрешения клиента предлагать ему контекстные финансовые продукты и сервисы.

Возможности для клиента: контроль балансов в режиме реального времени, возможность оплаты в адрес провайдера банковской картой или кошельком, при этом мы сами заполняем всеми реквизитами форму на стороне партнера и клиенту достаточно просто нажать на кнопку «Оплатить», сервер присылает умные уведомления, когда баланс провайдера достигает критического значения. Кроме того, мы написали модули, которые сами за клиента но под его контролем заходят в личные кабинеты сотовых операторов и сами получают пароль от входа в кабинет, избавляя клиента от лишней рутины. Внутри маркетплейса мы показываем системы счетчиков-балансов, которые обновляются в режиме реального времени, графики изменений баланса, а также ряд настроек. В ближайших релизах мы дадим клиентам возможность изменять настройки личного кабинета прямо на нашем маркетплейсе, также появится много других инновационных функций.

2. Сервер и маркетплейс «Экспорт данных»

Мы предоставляем микрофинансовым организациям (МФО) сервис для выгрузки данных о клиентах из банковских аккаунтов, аккаунтов сотовых операторов и электронных кошельков. Во время заполнения заявки на получение онлайн-займа клиент МФО может воспользоваться нашей формой идентификации:

За первые три секунды мы получаем персональные данные, и МФО может сравнить их с указанными в форме на выдачу займа. Далее за 10–15 секунд мы получаем данные о транзакциях, кредитах, депозитах, возрасте аккаунта, минимальных и максимальных платежах за период, шаблонах платежей, часто используемых номерах телефонов, на которые звонит клиент, и множество другой полезной для скоринга и антифрода информации.

Вся информация нами запрашивается один раз, мы не храним эту информацию у себя, а сразу же передаем партнеру и строго при получении согласия клиента на получение и обработку данной информации.

Кроме того, информация предоставляется нами не в разрозненном и сыром виде, а в виде агрегатов, то есть в обработанном для загрузки в скоринг МФО формате.

Бизнес-модель: b2b. МФО платят за запросы, которые мы обрабатываем и доставленную в их CRM информацию.

3. Сервис автоматического списания денежных средств

Мы хорошо понимаем проблему, когда выданный заем или кредит нужно быстро и удобно вернуть. И мы создали инновационный сервис, который по поручению пользователя сам списывает деньги с банковского счета или со счета электронного кошелька.

Конечно, для списания денежных средств существует инструмент классического рекарринга (списания денежных средств с банковской карты). Но у него есть два существенных ограничения:

• Денежные средства можно списать только в полном объеме.

• Если процессинг списания стучится в процессинг банка-эмитента несколько раз, а на карточном счете не хватает, например 1 руб., процессинг эмитента после нескольких отказов может заблокировать карту с подозрением на фрод.

Наш скрипт создает по поручению клиента шаблон платежа внутри интернет-банка с уже прописанными реквизитами МФО, выдавшей заем

Мы предлагаем удобный и гибкий сервис. Наш скрипт создает по поручению клиента шаблон платежа внутри интернет-банка с уже прописанными реквизитами МФО выдавшей заем. В шаблон платежа мы прописываем минимальную сумму, например 1 руб., и даем клиенту возможность подписать шаблон с помощью СМС. В дальнейшем такой шаблон считается верифицированным банком, и мы можем списать с него деньги безакцептно по команде от МФО. Мы следим за балансами данного счета, и если там есть деньги (даже один рубль), мы можем списать его по поручению партнера, выдавшего заем. Таким образом, мы можем насобирать нужную сумму или ее часть из разных источников, что существенно упрощает возврат долга.

Например, клиент должен 10 тыс. руб., а в «Яндекс-кошельке» у него 700 руб. Ему и в голову не может прийти, что этими деньгами можно расплатиться (сумма-то не вся). Кроме того, как ему вывести эту сумму и зачислить на счет МФО? Мы решаем все эти проблемы. Стоит клиенту привязать «Яндекс-кошелек», как платежное средство и наш скрипт сам спишет нужную сумму или ее часть. При этом юридически в назначении платежа написано основание для списания, например «Договор займа», то есть клиент всегда видит, куда уходят деньги, в каком объеме и на каком основании, то есть платежи осуществляются на 100% под контролем клиента.

4. Безопасные технологии

У нас есть две модели хранения информации: облачная и локальная. В облачной модели вы, как партнер, используете наш сервер, мы его полностью поддерживаем, отвечаем за его работу, за сохранность информации на нем и за правильную передачу информации вам. Информация хранится в зашифрованном виде.

Данные нельзя будет расшифровать, даже если украсть полностью образ сервера

Надежное хранение организовано следующим образом. Все учетные данные хранятся в зашифрованном виде с использованием шифрования AES256. Ключ тоже зашифрован с помощью алгоритма RSA, при этом расшифровка этого ключа производится аппаратно, ключ для расшифровки невозможно извлечь. Таким образом, данные нельзя будет расшифровать, даже если украсть полностью образ сервера. Украсть логины и пароли можно, только получив тотальный контроль над работающим сервером, зная, как он устроен, и имея исходный код для подмены модулей. Возможность сделать это неавторизованно чрезвычайно маловероятна. Итак, украсть логин и пароль с сервера практически невозможно. Более того, его невозможно украсть и с вашего устройства, в отличие от тех случаев, когда эти данные хранятся на устройстве.

Представьте, что вы потеряли телефон. Тогда хакер, имея полный доступ к вашему телефону, может получить все ваши пароли и расшифровать. А в случае хранения данных на сервере пароли на сторону клиента (телефон) вообще никогда не передаются. Узнать пароли, имея полный доступ к телефону с аккаунтом на сервере, невозможно. Таким образом, сервер имеет серьезную защиту, а украсть данные с телефона в принципе невозможно. Но все же представим, что каким-то образом у вас этот логин-пароль украли, и даже представим, что украли логин-пароль от интернет-банка. Что может сделать злоумышленник? А ничего, кроме как посмотреть ваш баланс. Потому что для любой активной операции, например для вывода денег, ему надо получить код подтверждения, например СМС от банка на ваш телефон. И здесь особенно важно раздельное хранение паролей и СМС. Если пароли хранятся на вашем устройстве, и вы теряете телефон, то в руки злоумышленника попадут и пароли, и СМС, что гораздо более опасно. А в случае сервера это не так. Вывод: мы действительно заботимся о безопасности, учли все моменты, и в некоторых аспектах такая схема даже более безопасна, чем хранение ключей и паролей на вашем устройстве.

Теперь рассмотрим вторую схему — локальное хранение: вы можете организовать свой сервер, поддерживать его и хранить пароли там. Мы на нем разворачиваем свое программное обеспечение, и вы можете быть полностью уверены, что пароли пользователей дальше вашего сервера не уйдут. По поводу доверия — у нас есть опытно проверенная модель, что пользователи в высокой степени доверяют банку пароли от других банков. Банк изначально воспринимается как территория доверия и надежности, и поэтому пользователи без проблем доверят пароли банку. Вы будете их шифровать и хранить и сможете гарантировать, что пароли дальше вас не ушли. Это будет ваша локальная база, и мы к ней не притронемся.

Теперь вернемся на минуту к облачной модели. Со своей стороны и мы не притронемся к логинам и паролям пользователей, потому что весь этот сервис построен на репутации. Попробуй мы на рынок продать базу, это сразу станет известно, и банки не будут с нами работать. Зачем нам это? Поэтому мы сами не используем пароли ваших клиентов без вашего разрешения и разрешения клиентов. Они нужны только чтобы «добыть» баланс и отобразить баланс в вашем интерфейсе мобильного или интернет-банка. Плюсы облака: вам не нужно заморачиваться с ресурсами по поддержке серверов. Минусы: вы можете опасаться, что пароли у нас. Плюсы локального хранения — все у нас и ваша душа спокойна. Минусы — серьезные затраты денег, ресурсов и программных, и человеческих, чтобы хранить пароли у себя. Облачная модель — это вопрос доверия к нам. Мы оставляем за партнером право решать, как хранить пароли. Более того, некоторые партнеры хранят их у нас, чтобы в случае каких-либо претензий мы, а не они несли ответственность за хранение паролей. Как мы работаем с накопленной информацией? Она вся принадлежит партнеру.