Согласно новости, Подкомитет 1 ТК № 122 опубликовал в закрытом доступе проект стандарта Банка России «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при использовании технологии цифровых отпечатков устройств».
Настоящий Стандарт устанавливает рекомендации, реализация которых направлена на обеспечение организациями банковской системы РФ мониторинга и контроля идентификации пользовательских устройств методом формирования и обработки цифровых отпечатков устройств при дистанционном предоставлении финансовых услуг пользователям
Основные разделы проекта стандарта:
рекомендации по формированию и применению цифрового отпечатка
алгоритм формирования цифрового отпечатка
цифровой отпечаток для браузера
цифровой отпечаток для мобильного приложения
целевые точки сбора цифрового отпечатка
рекомендации по хранению цифрового отпечатка
применение цифрового отпечатка
Из текста проекта можно сделать следующие выводы:
отпечаток применяется только лишь для целей защиты информации, расследования инцидентов и все с этим связанное;
из проекта выходит, что его применение для формирования отпечатка для бизнес-целей явно не описано, предположительно если КО принимает на себя обязанности по исполнению данного СТО, то для иных целей применять фингерпринт запрещено (формировать еще один по другому алгоритму!?);
проект явно определяет перечень собираемых параметров устройства и окружения для iOS и Android, а так же браузера;
проект явно определяет формат собираемых данных - JSON или XML;
проект явно определяет формулу конкатенации собираемых параметров;
проект явно определяет православный алгоритм хэширования ГОСТ Р 34.11-2018 полученной строки и длину хэш-строки (фингерпринта) в 512 бит;
при сравнении отпечатков, предлагается 15% отступление значений полученных данных с устройства от эталонных, но КО в праве определить свой процент.
В целом, в стандарте не увидел проблем, кроме небольших путаниц в определении пользователя, то он пользователь, то клиент, а так же неописанных сокращений и терминов.
Замечу, что стандарт
в своей open source версии определяет точность в 60% (пару лет назад была выше процентов на 15% как помню), платная же версия с частично закрытым исходным кодом обещает точность в 99.5%.
Стандарт не определяет такие параметры как:
"время жизни" отпечатка, у open source версии fingerprintjs это несколько недель
точность определения
Судя по всему, проект частично основан на документе EMV® 3-D Secure SDK - Device Information v.1.4 2019 года.
