Мир стремительно развивает цифру: сейчас буквально за минуты удалённо можно сделать многое из того, для чего ещё пару лет назад нужно было самому идти в офис, получать и сканировать бумажные справки, загружать их в личный кабинет или передавать в банк, вручную что-то подписывать, а потом ещё несколько дней ждать ответа.
Теперь наравне с бумажными документами действуют электронные. Цифровой профиль — это сервис Госуслуг, с помощью которого человек при желании может предоставить банкам и другим организациям достоверные данные о себе из государственных систем для получения коммерческих услуг. Это удобно для людей: не нужно никуда нести оригиналы документов, их копии и копии копий. Но что это может значить для банков? Для них Цифровой профиль Госуслуг — новая возможность упростить обслуживание и предлагать персонализированные финансовые продукты.
Команда разработчиков и аналитиков ПСБ стала одной из первых в России, кто увидел потенциал и начал интегрировать Цифровой профиль Госуслуг в свои сервисы. В статье делимся опытом внедрения и на своём примере показываем, как банк может повысить доверие клиентов к цифровым услугам.
Цифровой профиль в деталях
Перед тем как мы расскажем о том, как интегрировались с Цифровым профилем Госуслуг, давайте чуть подробнее объясним, что же он из себя представляет и чем интересен банкам и их клиентам.
Цифровой профиль Госуслуг — это набор сведений о гражданине в государственных информационных системах. Информация в Цифровой профиль поступает с согласия клиента банка из самых разных источников: базы данных МВД, ФНС, СФР и других ведомств. Сам Цифровой профиль развивает и курирует Минцифры России, а банк выступает в роли получателя сведений, который использует их для предоставления услуг гражданам.
Цифровой профиль Госуслуг позволяет банкам получить проверенную информацию и быстрее выполнить запрос клиента, и что особенно ценно — не делая для этого интеграций с каждой отдельной госструктурой.
Важно: у банка нет доступа к внутренним процессам Цифрового профиля, как нет и прямого взаимодействия с базами данных. Всё общение происходит через API Цифрового профиля, а он интегрирован с государственной инфраструктурой и позволяет банку запрашивать только ту информацию, на получение которой пользователь дал согласие.
Если посмотреть на получившуюся архитектуру взаимодействия, которую формирует Цифровой профиль Госуслуг, то в ней:
клиенты — получатели услуг, которые контролируют доступ к своим данным;
банки и другие организации — получатели проверенной информации без посредников и дублирования процессов;
государство — единый поставщик данных, который гарантирует их безопасность, актуальность и полноту.
Кнопку ткнул — и документы сами появляются (нет)
На первый взгляд может показаться, что в тот момент, когда вы запрашиваете документ в мобильном приложении (нажимаете кнопку), нужные данные мгновенно появляются у банка. Но нет: за этим действием скрыта сложная цепочка подтверждений и проверок. Давайте разберём, как этот механизм работает.
Для начала, чтобы работать с Цифровым профилем Госуслуг, банку нужно получить к нему доступ. Нужны сертификация и регистрация, требующие от банка соответствия высоким требованиям информационной безопасности. А без сертификации о доступе к данным Цифрового профиля можно забыть.
Как же выглядит работа системы, когда в неё поступает запрос?
1. Создание запроса. Клиент обращается в банк за услугой (например, хочет открыть вклад).
2. Авторизация клиента. Пользователь заходит в Единую систему идентификации и аутентификации (ЕСИА), используя логин и пароль от портала «Госуслуги». Важно: учётная запись пользователя должна была подтверждённой, иначе система не получит доступ к данным.
3. Подтверждение согласия. После авторизации клиент попадает на специальную страницу, где перечислены данные, к которым банк запрашивает доступ (это могут быть паспорт, сведения о доходах, адрес регистрации и другая информация). Чтобы банк мог получить доступ к каким-либо персональным данным, необходимо разрешение гражданина — владельца этих данных. Пользователь может дать согласие или отказаться, и при отказе банк не получит доступ к запрошенной информации в Цифровом профиле Госуслуг. В таком случае клиент сможет получить услугу обычным путём, придя в офис банка.
4. Формирование запроса. Банк формирует список данных, которые нужны для оказания услуги, и делает запрос на их получение из Цифрового профиля.
5. Обмен данными. Когда запрос от банка получен, система обращается к нужным ведомствам (ФНС, МВД, СФР и другим) и возвращает банку запрошенные сведения по защищённым каналам.
6. Использование данных. Банк быстро получает данные и может определить, предоставлять клиенту услугу или нет. И пользователю хорошо — не нужно ничего заполнять вручную, потому что данные автоматически подставляются в анкету.
Такой механизм делает процесс получения услуг не только удобным, но и безопасным. Банк автоматически получает актуальные, подтверждённые государством документы, а согласие пользователя фиксируется документально. ПСБ уже использует интеграцию с Цифровым профилем в своей работе.
Мы делали, делали… а ради чего?
Интеграция с Цифровым профилем действительно принесла нам много пользы — благодаря ей мы смогли упростить целый ряд работ. Расскажем о некоторых основных моментах.
Благодаря внедрению Цифрового профиля мы повысили скорость получения и точность данных, ведь теперь мы быстро получаем подтверждённые документы от государства. Мы можем использовать их для проверки клиента, а клиент — для подтверждения уровня своего дохода или наличия собственности. Как результат, экономим в среднем по 4 минуты на заполнение клиентской карточки, если получаем данные из Цифрового профиля. И что особенно важно, все эти документы уже проверены, юридически значимы и признаются официальными.
Нам также удалось ускорить процесс заполнения анкет. К моменту подключения к Цифровому профилю любую заявку на услуги в нашем банке можно было оформить онлайн. Но процесс всё равно был неоптимальным: клиенту нужно было сканировать справки, загружать документы вручную. Иногда в анкетах попадались случайные ошибки, это замедляло получение услуг.
С внедрением Цифрового профиля всё стало проще: данные автоматически подтягиваются из «Госуслуг», анкета заполняется быстро и без ошибок. В итоге клиент получает услугу быстрее, а мы экономим время наших операционных специалистов.
Приведём другие примеры пользовательских сценариев, в которых интеграция с Цифровым профилем оказалась особенно полезной:
Оформление предоплаченной карты. Одно из последних нововведений — это возможность получить карту с ограниченным лимитом через упрощённую идентификацию. Предоплаченная карта — это электронное средство платежа, которое позволяет быстро получить деньги и совершать покупки в онлайн-магазинах на небольшие суммы (до 200 тыс. в месяц и до 60 тыс. рублей за одну операцию).
Оформить карту можно через идентификацию в Цифровом профиле. Система подтягивает необходимые данные: ФИО, данные документа, удостоверяющего личность, СНИЛС, адрес регистрации, номер телефона и электронную почту. Такое дистанционное оформление особенно удобно, если человек ещё не является клиентом банка или не может прийти в наш офис. Так с помощью Цифрового профиля человек становится клиентом и получает начальный уровень доступа к интернет-банку. Например, сможет проверять свой баланс.
В будущем мы планируем использовать возможности Цифрового профиля и для оформления дебетовой и кредитной карт. В последнем случае через авторизацию на Госуслугах клиент сможет предоставлять согласие на получение банком справки о доходе. Таким образом, можно будет оформить кредитную карту дистанционно. В офис банка при этом нужно будет прийти только для подтверждения личности.
Расчётный счёт для индивидуальных предпринимателей. Цифровой профиль помог нам упростить работу с юрлицами. Например, мы запустили сценарий, который позволяет открыть расчётный счёт для ИП на основании данных из Цифрового профиля. Здесь действует тот же принцип, что и в сценариях для обычных пользователей — клиент должен дать согласие на передачу данных. В будущем мы планируем добавить и другие функции, например возможность передачи документов и проверки контрагентов.
Но это не весь спектр задач, в которых можно применять интеграцию с Цифровым профилем. В планах на следующий год — сделать так, чтобы информацию о клиенте — паспортные данные, фамилию, адрес регистрации — можно было бы обновить онлайн. Клиентам не нужно будет приезжать в офис банка, а банковские сотрудники сэкономят время для более сложных задач.
С автозаполнением анкеты мы планируем пойти дальше. Мы хотим ускорить процесс оформления карт для компаний, которые являются нашими клиентами по зарплатному проекту. В перспективе процесс будет выглядеть примерно так:
Сотрудник компании-клиента скачивает банковское приложение.
Нажимает на кнопку «Стать клиентом банка через Госуслуги».
Проходит авторизацию в ЕСИА и даёт согласие банку на доступ к Цифровому профилю.
На стороне банка автоматически создаётся карточка клиента.
Таким образом, сотрудник получает карту быстрее, а операционист банка тратит меньше времени при оформлении клиента.
Если говорить о клиентском пути в офисе банка, то и здесь интеграция с Цифровым профилем поможет упростить процедуру как для клиента, так и для сотрудника банка. Раньше человеку нужно было дождаться своей очереди, чтобы получить услугу. Внедрение Цифрового профиля в клиентский путь позволит человеку заполнить анкету уже в очереди, просто отсканировав QR-код на талоне или экране терминала. Когда очередь подойдёт, у менеджера уже будет вся необходимая информация: останется только сверить данные анкеты с паспортом и предложить клиенту подходящий продукт.
Всё классно, но есть нюанс: без доверия не работает
Во всей этой истории с интеграцией с Цифровым профилем есть ещё один очень важный момент — доверие клиентов. Не все пользователи пока готовы давать согласие на передачу сведений о своих документах онлайн, но мы видим, что ситуация уже значительно лучше, чем несколько лет назад. Всё больше клиентов пользуется возможностью заполнить анкету через Цифровой профиль. Сейчас около 65% наших клиентов отправляют заявки через авторизацию на «Госуслугах». А дополняет нашу уверенность положительная динамика использования портала «Госуслуги»: согласно заявлению главы Минцифры Максута Шадаева, уже 95% всех граждан старше 14 лет пользуются «Госуслугами».
Как можно повлиять на процесс повышения доверия пользователей к таким системам? Конечно, важную роль играет работа государства по продвижению цифровых систем. Но и банк, в свою очередь, тоже должен делать шаги в этом направлении. И один из важных шагов повышения лояльности пользователей — это обеспечение безопасности при работе с Цифровым профилем.
В основе этой безопасности — многоуровневая схема. Все обмены данными между банком и системой проходят через защищённые каналы с использованием ключей шифрования, а сама передача данных дополнительно защищена со стороны банка от перехвата и несанкционированного доступа.
Доступ к Цифровому профилю регулируется с помощью специальных ключей и сертификатов, прикладываемых к каждому запросу. Все данные шифруются на этапе передачи и хранения в соответствии с требованиями службы безопасности Минцифры и в соответствии с ФЗ №152 «О персональных данных».
Поясним немного глубже. Чтобы безопасно работать с Цифровым профилем, мы изначально генерируем криптографические ключи для нашей информационной системы. На них выпускается сертификат квалифицированной электронной подписи — КЭП, выданный аккредитованным УЦ, с привязкой к нашему ОГРН. Это подтверждает, что все запросы, которые исходят от нашего банка, действительно отправлены нами и мы несём за них юридическую ответственность. Каждый запрос в систему Цифрового профиля мы подписываем этим сертификатом.
Со стороны ЕСИА сертификат заранее зарегистрирован и привязан к учётной записи нашей ИС, иначе подпись просто не прошла бы проверку. ЕСИА работает на стандартных для российского рынка криптоалгоритмах: X.509 для сертификатов, ГОСТ 34.10-2012 для подписи и ГОСТ 34.11-2012 для хеширования. То есть криптографическая цепочка полностью соответствует требованиям регулятора и даёт нужный уровень доверия к передаваемым данным.
С точки зрения авторизации доступ построен на модели OAuth 2.0. В рамках этой схемы мы получаем токены доступа с определённым набором прав. Время действия токена ограничено. Это нужно и для безопасности, и для контроля интеграции — есть понимание, какая система запрашивает данные и в каком контексте.
Запросы в Цифровой профиль идут не напрямую, а через наш внутренний прокси, который подключён к защищённому контуру системы межведомственного электронного взаимодействия (СМЭВ). Дальше запросы передаются на специальный узел внутри защищённой сети — так называемый балансировщик. Он принимает входящие запросы и равномерно распределяет их внутри СМЭВ, чтобы система работала быстро и без перегрузок. Такая схема снижает риски: внешнего доступа к системам нет, весь обмен выполняется внутри доверенной цифровой инфраструктуры государственных компаний. Это обеспечивает стабильность и защиту канала, а также уменьшает количество потенциальных точек атаки.
Отдельно отметим, что мы соблюдаем требования 152-ФЗ «О персональных данных». Это не только про юридические чекбоксы — это значит, что защита обеспечена на всех уровнях, от транспортного шифрования и криптографии до журналирования операций, контроля доступа сотрудников и регулярного аудита.
Авторизоваться в Цифровом профиле может только клиент с подтверждённой учётной записью на «Госуслугах», что обеспечивает нам базовую достоверность личности. Дополнительно к этому система сравнивает ещё и данные при регистрации — это помогает выявить попытки мошенничества, например, если кто-то попытается зарегистрироваться под чужим именем.
Нам также пришлось продумать безопасность работы в так называемой «неавторизованной зоне» — маркетинговой площадке, где любой пользователь, даже не имеющий статуса клиента, может заполнить анкету и отправить её на проверку. В этом случае мы создаем «частичный личный кабинет» с ограниченными возможностями: полноценного банковского обслуживания и подписанных договоров здесь ещё нет, а доступ к услугам будет предоставлен только после подтверждения личности. Это решение позволяет банку безопасно привлекать новых клиентов не в ущерб своим стандартам защиты данных. По нашей внутренней статистике, при работе в «неавторизованной зоне» 72% пользователей выбирают авторизацию через Цифровой профиль.
Заключение
Конечно, если совсем коротко, Цифровой профиль Госуслуг очень многое даёт и банкам, и их клиентам. Даже если взять только наш опыт, то после подключения к Цифровому профилю мы смогли ускорить процессы идентификации и верификации, сократить путь клиента от заявки до услуги. И пусть пока не все готовы разрешать организациям доступ к своим данным в Цифровом профиле, мы снова повторим, что у банков есть всё необходимое, чтобы заслужить доверие. Ведь на нашей стороне — опыт работы с регуляторными требованиями, высокий уровень безопасности и умение управлять персональными данными.