Banking, Insurance and Capital Markets Comarch MobileID
Zawartość 1 COMARCH MOBILEID... 3 1.1 WSTĘP... 3 2 BEZPIECZEŃSTWO MOBILNE... 4 3 KOMPONENTY... 5 4 CECHY... 6 5 OBSŁUGIWANE URZĄDZENIA... 7 5.1 UWIERZYTELNIANIE... 8 5.2 AUTORYZACJA TRANSAKCJI... 8 6 SCENARIUSZE UŻYCIA... 10 6.1 REJESTRACJA... 10 6.1.1 Pobranie aplikacji... 10 6.1.2 Proces inicjalizacji... 11 6.2 LOGOWANIE... 14 6.3 AUTORYZACJA... 15 6.4 AUTORYZACJA TRANSAKCJI... 16 6.5 OBSŁUGA PROTOKOŁU RADIUS... 18 7 PORÓWNANIE TECHNOLOGII... 19 8 PERSONALIZACJA ROZWIĄZANIA... 20 9 DOSTARCZENIE ROZWIĄZANIA... 21 9.1 KOMPONENTY... 21 9.2 DOSTARCZENIE... 22 9.2.1 Udostępnione środowisko (outsourcing)... 22 9.2.2 Software + hardware... 23 9.2.3 Software... 23 9.3 SMS SENDER... 23 9.3.1 SMS od Comarch... 24 9.3.2 SMS od ZAMAWIAJĄCEGO... 25 10 TESTUJ COMARCH MOBILEID... 26 2
1 Comarch MobileID 1.1 Wstęp Procesy uwierzytelnienia i autoryzacji użytkownika w systemie są kluczowymi elementami zabezpieczania środowiska systemów informacyjnych. Uwierzytelnienie jest procesem potwierdzenia tożsamości użytkownika, natomiast dzięki autoryzacji użytkownicy otrzymują dostęp do zasobów w oparciu o określone zasady i reguły bezpieczeństwa. Uwierzytelnianie jest pierwszą linią obrony przed nieuprawnionym dostępem i może być realizowane na wiele sposobów, począwszy od prostej ochrony za pomocą statycznych haseł, poprzez systemy haseł jednorazowych, generowanych za pomocą sprzętowych lub programowych generatorów (tzw. tokeny), aż po certyfikaty zlokalizowane na kartach kryptograficznych lub wykorzystanie czytników biometrycznych. Comarch MobileID jest nową metodą uwierzytelniania i autoryzacji opartą na urządzeniach mobilnych, łączącą w jednym rozwiązaniu unikalne i niespotykane cechy: pewność, łatwość użycia, niską cenę i zaawansowanie technologiczne. Comarch MobileID jest jednym z licznych produktów Działu Bezpieczeństwa i Ochrony Danych firmy Comarch, którego korzenie sięgają do rodziny produktów Protector. Comarch MobileID istnieje jako odrębny produkt lub też integruje się z Comarch Security Access Manager DRACO - systemem centralnego zarządzania użytkownikami i ich uprawnieniami. 3
2 Bezpieczeństwo mobilne W dzisiejszym świecie coraz więcej użytkowników korzysta z dobrodziejstw oferowanych przez technologie telefonii komórkowej. Comarch MobileID jest produktem, który wykorzystuje powszechność urządzeń mobilnych i dostarcza bezpieczny i niedrogi mechanizm uwierzytelnienia i autoryzacji. 4
3 Komponenty W skład rozwiązania wchodzą komponenty działające po stronie serwerowej i na urządzeniach użytkowników końcowych. W skład części klienckiej, z której korzystają użytkownicy końcowi, wchodzi: aplikacja na urządzenie mobilne. Jest to aplikacja (Java midlet 1 lub aplikacja natywna) pobierana przez Internet bezpośrednio na urządzenie mobilne, np. na telefon komórkowy. Komponent używany jest przez klientów końcowych, czyli użytkowników systemu. W skład części serwerowej rozwiązania wchodzą komponenty odpowiadające za uwierzytelnianie użytkowników, autoryzację oraz przeprowadzanie czynności administracyjnych takich jak: rejestracja użytkowników, zmiana PINu użytkowników. Wśród komponentów serwerowych można wyróżnić: serwer weryfikujący Jest to komponent działający w środowisku klienta lub też udostępniany w modelu outsourcingu przez Comarch, który przeprowadza operację weryfikacji poprawności haseł jednorazowych wprowadzonych przez użytkowników końcowych. interfejs programistyczny (API) Jest to biblioteka wykorzystywana przez aplikacje zintegrowane z rozwiązaniem Comarch MobileID do komunikacji z serwerem weryfikującym. Zawiera szereg funkcji umożliwiających zarówno weryfikację haseł jednorazowych, jak i całościowe zarządzanie cyklem życia kont użytkowników w systemie. konsola zarządzająca użytkownikami Konsola jest opcjonalnym elementem rozwiązania Comarch MobileID. Wykorzystywana jest w sytuacji, gdy aplikacja zintegrowana nie dostarcza interfejsu graficznego do zarządzania cyklem życie kont użytkowników w systemie. Jest to typowe w przypadku, gdy Comarch MobileID działa jako serwer RADIUS w infrastrukturze dostępu do wirtualnych sieci prywatnych (VPN). Z poziomu konsoli w łatwy sposób można wykonać operacje związane z rejestracją nowych użytkowników, zmianą PINu czy usuwaniem kont. 1 Midlet - aplikacja napisana w języku Java dla urządzeń obsługujących profil MIDP, czyli dla telefonów komórkowych i notatników elektronicznych PDA 5
4 Cechy 1. Bezpieczeństwo: silna kryptografia: o bezpieczny kryptograficznie generator liczb pseudolosowych; o zgodny z algorytmem HOTP (HMAC-Based One-Time Password Algorithm) opracowanym przez Initiative For Open Authentication (OATH); o algorytm funkcji skrótu SHA; dwuskładnikowe uwierzytelnianie/autoryzacja; Proces uwierzytelnienia i autoryzacji opiera się: o na tym, co użytkownik wie (PIN); o na tym, co użytkownik posiada (urządzenie mobilne z aplikacją Comarch MobileID). generowany passcode można użyć tylko raz; passcode jest generowany co 60 sekund; PIN zabezpieczający aplikację Comarch MobileID do 8 cyfr. 2. Obsługa protokołu RADIUS. 3. Niskie koszty nie wymaga dodatkowych urządzeń, brak kosztów wysyłania SMS ów. 4. Dostosowywany interfejs użytkownika aplikacji MobileID. 5. Łatwość instalacji. 6
5 Obsługiwane urządzenia Aktualnie aplikacja jest dostępna dla platform: iphone, Android, Windows Mobile, Windows Phone, BlackBerry, oraz midletu działającego w oparciu o środowisko Java (wersja wykorzystywana również przez telefony BlackBerry). Aplikacja w wersji dla platformy Java jest w stanie obsłużyć każdy telefon komórkowy wspierający standard MIDP 1.0, a więc praktycznie każdy wyprodukowany po 2002 roku. Comarch dokłada wszelkich starań, aby aplikacja działała poprawnie na wszystkich telefonach pracujących zgodnie z wymienioną specyfikacją. W tym celu Comarch prowadzi stały monitoring rynku nowych modeli telefonów oraz bieżące testy aplikacji Comarch MobileID na pojawiających się modelach. 7
5.1 Uwierzytelnianie Aplikacja po stronie klienta generuje passcode, który sprawdzany jest po stronie serwera. Passcode generowany jest na podstawie unikalnie wygenerowanego ziarna (seed), PINu oraz czasu bieżącego, których konkatenacja przetwarzana jest zgodnie ze standardem HOTP. PIN Ziarno Czas 11 12 10 1 2 9 3 8 4 7 6 5 HOTP PASSCODE Mając PIN, aplikacja Comarch MobileID zaczyna generować hasła jednorazowe z częstotliwością co 60 sekund. Użytkownik używa wygenerowanego ciągu znaków (passcode) do uwierzytelnienia w aplikacji. Aplikacja używając dedykowanego interfejsu waliduje passcode w serwerze Comarch MobileID. 5.2 Autoryzacja transakcji Autoryzacja transakcji odbywa się z wykorzystaniem mechanizmu challenge response. System zintegrowany z Comarch MobileID prezentuje użytkownikowi kod autoryzujący (challenge) stworzony na podstawie danych z transakcji (numer konta, kwota, bieżący czas). Kod ten zostaje następnie wprowadzony do aplikacji działającej na urządzeniu mobilnym. Na jego podstawie generowany jest kod autoryzacyjny (response), który użytkownik wprowadza w odpowiednim miejscu na formularzu transakcji i potwierdza tym samym chęć jej wykonania. Serwer aplikacji waliduje poprawność podanej wartości response, względem powiązanego z danymi aktualnej transakcji kodu challenge oraz kryptograficznych danych unikalnych dla użytkownika. Jeśli kod jest poprawny, następuje autoryzacja transakcji. Jeśli dane transakcji zostałyby 8
zmienione przez niepowołaną stronę, zmiana ta zostanie wykryta przez użytkownika na etapie generacji kodu response. Jest to możliwe dzięki ścisłemu powiązaniu danych transakcji z wartościami używanymi do jej autoryzacji. W przypadku aplikacji Comarch MobileID pracującej na platformach iphone, Android lub Windows Mobile do autoryzacji transakcji może zostać wykorzystana technologia kodów QR 2. W tym przypadku użytkownik nie wpisuje ręcznie kodu challenge do aplikacji. Aplikacja, wykorzystując aparat fotograficzny zainstalowany w telefonie, skanuje kod QR, dekoduje go, a następnie prezentuje użytkownikowi dane o transakcji. Po akceptacji następuje wygenerowanie kodu autoryzacyjnego response. 1 Dane transakcji Nuner konta decelowego Kwota transkacji Kod autoryzacyjny 2 Dane transakcji Nuner konta decelowego Kwota transkacji Kod autoryzacyjny Użytkownik PIN Ziarno 4 Challenge 3 Challenge Serwer MobileID HOTP Response Walidacja Użytkownik 5 6 Serwer MobileID 2 Kod QR (Quick Response) dwuwymiarowy kod kreskowy umożliwiający kodowanie znaków alfanumerycznych do postaci graficznej. 9
6 Scenariusze użycia Cztery poniższe scenariusze pokazują łatwość użycia aplikacji MobileID przez użytkownika końcowego. Pierwszy dotyczy pobrania aplikacji na urządzenie mobilne (np. telefon). Drugi ukazuje jak rozwiązanie MobileID może zostać użyte do uwierzytelniania użytkowników. Trzeci pokazuje, jak za pomocą MobileID można autoryzować transakcję. Czwarty opisuje obsługę protokołu RADIUS. 6.1 Rejestracja 6.1.1 Pobranie aplikacji Użytkownik rejestruje się w systemie podając swoją nazwę (user name) oraz dodatkowo w przypadku wersji na platformę Java (opcjonalnie Windows Mobile) podaje numer telefonu komórkowego, na który zostanie automatycznie wysłany link do pobrania aplikacji Comarch MobileID z serwera (WAP-PUSH). Taki sposób dystrybucji aplikacji jest bardzo przyjazny dla użytkownika końcowego. WAP Push SMS Link HTTP Aplikacja MobileID Serwer MobileID Sposób dystrybucji aplikacji Comarch MobileID na platformy Java i Windows Mobile (metoda alternatywna dla Windows MarketPlace) W przypadku wersji natywnych, aplikacja pobierana jest z określonego dla danej platformy miejsca dystrybucji oprogramowania. W przypadku iphone a jest to App Store, Androida - Android Market, natomiast 10
dla telefonów z systemem Windows Mobile lub Windows Phone, aplikacja instalowana jest przy wykorzystaniu Windows Marketplace. W przypadku dystrybucji aplikacji dla urządzeń BlackBerry, system może wykorzystać istniejącą w przedsiębiorstwie infrastrukturę BlackBerry Enterprise Server (BES). Istnieje możliwość zintegrowania procesu rejestracji użytkownika z procesami zabezpieczanego systemu wykorzystując w tym celu API 3 Comarch MobileID. 6.1.2 Proces inicjalizacji Podczas rejestracji generowane są indywidualne klucze kryptograficzne dla użytkownika (przechowywane również w bazie danych Comarch MobileID). Kluczami tymi jest wartość PIN oraz ziarno kryptograficzne przypisanego do aplikacji danego użytkownika. Ziarno kryptograficzne zostaje osadzone w aplikacji w procesie inicjalizacji, który odbywa się w końcowym etapie procesu rejestracji. Windows Phone Windows Mobile Windows MarketPlace iphone App Store Android Android Market BlackBerry ES WWW Sposób dystrybucji aplikacji na platformy Windows Mobile, Windows Phone, iphone, Android, BlackBerry 3 API (ang. Application Programming Interface) - interfejs programowania aplikacji, interfejs programu użytkownika specyfikacja procedur, funkcji lub interfejsów umożliwiających komunikację z biblioteką, systemem operacyjnym lub innym systemem zewnętrznym w stosunku do aplikacji korzystającej z API. 11
Proces inicjalizacji przeprowadzany jest tylko raz, przy pierwszym uruchomieniu aplikacji Comarch MobileID. Program działający w telefonie generuje losowy 5 znakowy ciąg. Ciąg ten zostaje wprowadzony na stronach realizujących operację rejestracji aplikacji w systemie. W odpowiedzi część serwerowa rozwiązania prezentuje ciąg inicjalizacyjny, który należy wprowadzić w telefonie. Ciąg inicjalizacyjny jest odpowiednio zakodowaną, z wykorzystaniem wygenerowanego przez telefon klucza, wartością ziarna kryptograficznego. Mechanizm zakodowania ziarna kryptograficznego podczas transportu, losowym ciągiem wygenerowanym przez telefon, zabezpiecza przed osadzeniem tego samego ziarna na kilku telefonach. W ramach procesu inicjalizacji użytkownik definiuje także swój pierwszy PIN, który później może w każdej chwili zmienić. Po zdefiniowaniu PINu, system prezentuje użytkownikowi odpowiedni obraz graficzny, powiązany z wprowadzoną przez niego wartością tzw. PIN hint. Obraz ten pozwala na szybką weryfikację poprawności, wprowadzanej w polu maskowanym poprzez *, wartości hasła PIN. Sama aplikacja uruchomi się bez przeszkód po wprowadzeniu dowolnej wartości hasła PIN - jest to mechanizm zabezpieczający przed odgadnięciem jego wartości (np.: po kradzieży telefonu) poprzez wypróbowanie wszystkich możliwych kombinacji. Niemniej użytkownik wielokrotnie korzystający z aplikacji działającej na telefonie, od razu zauważy pojawienie się odmiennego niż zwykle obrazu PIN hint, w przypadku, gdy omyłkowo wprowadzi błędną wartość PIN (co skutkuje odmowami przy weryfikacji haseł jednorazowych). Mechanizm obrazów graficznych PIN hint poprawia ergonomię rozwiązania dla uprawnionych użytkowników, w sposób niezmniejszający poziomu bezpieczeństwa całego rozwiązania. Nie ma możliwości odgadnięcia wartości PIN tylko na podstawie zaprezentowanego PIN hint, gdyż konkretny obraz jest powiązany z wieloma wartościami PIN (jednocześnie dla danej wartości PIN zawsze zostanie zaprezentowany ten sam obraz). W skrócie proces inicjalizacji składa się z następujących kroków: 1. Wprowadzenia w GUI realizującym proces rejestracji wartości kodu startowego wygenerowanego przez aplikacje działającą w telefonie. 2. Wprowadzenia do aplikacji działającej w telefonie kodu aktywacyjnego wygenerowanego przez serwer. Wprowadzenie kodu może się odbyć albo poprzez ręczne przepisanie go z użyciem klawiatury numerycznej, bądź poprzez zeskanowanie zaprezentowanego kodu QR (platformy iphone, Android, Windows Mobile). 3. Zdefiniowanie wartości PIN. 4. Weryfikację obrazu graficznego PIN hint. Jeśli obraz jest ten sam na aplikacji działającej na telefonie oraz na stronach realizujących rejestrację, oznacza to, że całość procesu przebiegła pomyślnie. 12
13
6.2 Logowanie Podczas logowania użytkownik proszony jest przez aplikację o podanie swojego loginu oraz passcode wygenerowanego przez MobileID. Następnie użytkownik musi uruchomić aplikację inicjując ją PINem. Po wprowadzeniu PINu, telefon prezentuje odpowiedni obraz graficzny PIN hint, co umożliwia użytkownikowi łatwe wychwycenie ewentualnego błędu popełnionego podczas wprowadzania wartości PIN. Aplikacja generuje passcode, którym użytkownik potwierdza swoją tożsamość. Następuje dwuskładnikowe uwierzytelnienie: oparte na tym, co użytkownik wie (PIN) oraz na tym, co użytkownik posiada (urządzenie mobilne z Comarch MobileID). Użytkownik 1. Użytkownik uruchamia aplikację podając jemu tylko znany PIN 2. Użytkownik wprowadza wygenerowany PASSCODE do aplikacji 3. Weryfikacja kodu Serwer MobileID 14
6.3 Autoryzacja Proces autoryzacji jest dwuetapowy. Serwer generuje kod challenge, który użytkownik wprowadza do aplikacji Comarch MobileID. Na jego podstawie generowany jest właściwy kod autoryzacyjny response umożliwiający autoryzację transakcji. Użytkownik 1. Użytkownik uruchamia aplikację podając jemu tylko znany PIN 2. Challenge 3. Response 3. Weryfikacja kodu Serwer MobileID 15
6.4 Autoryzacja transakcji Tryb autoryzacji transakcji wymusza na użytkowniku potwierdzenie w aplikacji Comarch MobileID wybranych informacji o transakcji. Standardowo jest to numer rachunku docelowego oraz kwota transakcji. Po wprowadzeniu w aplikacji działającej na telefonie kodu serwera (challenge) wygenerowanego przez serwis transakcyjny rozpoczyna się generacja kodu autoryzacji. Zanim to jednak nastąpi, aplikacja na telefonie prezentuje użytkownikowi dane odnośnie przeprowadzanej transakcji: numer rachunku docelowego oraz kwotę. Użytkownik dokonuje weryfikacji i potwierdza poprawność danych. Następuje generowanie kodu autoryzującego. Po wprowadzeniu kodu do serwisu transakcyjnego oraz naciśnięciu przycisku Autoryzuj, następuje proces autoryzacji transakcji. Kod jest sprawdzany na serwerze Comarch MobileID. Metoda taka chroni przed atakami men-in-the-middle oraz trojanami. Jeżeli dane podczas przesyłania do serwisu zostały w niewidoczny sposób zmienione przez hackera, użytkownik zobaczy to na ekranach potwierdzania szczegółów transakcji. Ponadto wartość generowanego kodu serwera (challenge) jest powiązana z danymi transakcji oraz unikalnymi dla użytkownika wartościami kryptograficznymi. Dzięki temu nawet, jeśli hacker zdoła podsłuchać przesyłane wartości challenge oraz response, nie będzie miał możliwości użycia tych informacji do autoryzacji innej transakcji. 16
Dodatkowo dla zwiększenia ergonomii rozwiązania dla użytkownika, Comarch MobileID oferuje autoryzację transakcji z użyciem dwuwymiarowych kodów QR. Opcja ta jest możliwa do wykorzystania w przypadku aplikacji pracujących na platformach iphone, Android i Windows Mobile. W tym schemacie, na podstawie wprowadzonych przez użytkownika danych transakcji, generowany jest graficzny kod QR. Aplikacja automatycznie, wykorzystując aparat fotograficzny zainstalowany w telefonie, pobiera szczegóły transakcji, a następnie prezentuje je użytkownikowi. Użytkownik dokonuje weryfikacji zgodności zaprezentowanych danych z danymi oryginalnymi, a następnie wprowadza ciąg znaków (response) wygenerowany przez aplikację uruchomioną w telefonie na stronie serwisu transakcyjnego. Ciąg tworzony przez Comarch MobileID, tak jak w przypadku klasycznej implementacji mechanizmu challenge-response, jest bezpośrednio związany z danymi. Operacja odnalezienia i pobrania kodu QR jest bardzo przyjazna dla użytkownika. Aplikacja sama uruchamia aparat fotograficzny, rozpoznaje kod znajdujący się w kadrze oraz wykonuje zdjęcie. Od użytkownika wymagane jest jedynie skierowanie telefonu w odpowiednim kierunku. 17
6.5 Obsługa protokołu RADIUS RADIUS to najpopularniejszy protokół uwierzytelniania i autoryzacji dostępu użytkowników w sieciach: telefonicznych (dial-up) bezprzewodowych (protokół 802.X) tunelach (VPN). Protokół RADIUS jest bardzo często wykorzystywany w dostępie do usług VoIP (SIP oraz H.323). Dzięki prostej integracji systemu Comarch MobileID z serwerami RADIUS, użytkownik ma szersze możliwości dostępu do wyżej opisanych sieci oraz usług. Serwer Comarch MobileID udostępnia interfejs obsługiwany protokołem RADIUS i w ten sposób umożliwia prostą integracje urządzeń sieciowych oraz aplikacji realizujących operacje zdalnego dostępu. Zamiast statycznego hasła, użytkownik może logować się za pomocą Comarch MobileID, co znacznie podnosi poziom bezpieczeństwa oraz jest realizowane w sposób wygodny dla końcowego odbiorcy rozwiązania. Duża zaletą rozwiązania jest prostota integracji. Dzięki możliwości pracy w roli serwera RADIUS, w przypadku integracji produktu z infrastrukturą VPN, wymagane są jedynie drobne zmiany konfiguracyjne. 18
7 Porównanie technologii Poniższa tabela prezentuje porównanie typowych technologii służących do zabezpieczania online owych transakcyjnych systemów bankowych, w tym: Tans lista wygenerowanych haseł w formie papierowej, SMS codes kody uwierzytelniające/autoryzujące wysyłane na komórkę klienta w formie SMS, Physical OTP tokeny haseł jednorazowych (one time passwords) np. tokeny RSA Security lub Vasco, SmartCards karta umożliwiająca wykonanie operacji kryptografii asymetrycznej, MobileID rozwiązanie haseł jednorazowych wysokiego bezpieczeństwa dla telefonów komórkowych. Każda technologia została ocenia pod względem: poziomu bezpieczeństwa poziomu bezpieczeństwa zapewnianego przez technologię, przenaszalności możliwości zastosowania technologii na szeroką skalę, kosztu kosztu rozwiązania na 1 użytkownika. Poziom bezpieczeństwa Przenaszalność Koszt Tans SMS codes Physical OTP SmartCards very high MobileID Konkluzja Jedynie rozwiązanie Comarch MobileID łączy w sobie wysoki poziom bezpieczeństwa (HOTP, SHA), wysoką przenaszalność oraz niski koszt dla użytkownika końcowego. 19
8 Personalizacja rozwiązania Aplikacja Comarch MobileID jest personalizowana zgodnie z zaleceniami klienta. Poniżej przedstawiono przykładowe widoki ekranów spersonalizowanej aplikacji MobileID. Pierwsze dwa ukazują generowanie passcode służącego do uwierzytelnienia. Trzeci obrazuje generowanie tokenu challenge-response. 20
9 Dostarczenie rozwiązania Comarch MobileID może zostać dostarczone w różnych wariantach. Generalnie możemy wyróżnić: infrastruktura zbudowana u klienta, wspólna instalacja udostępniona przez Comarch (outsourcing). Oba warianty wdrożenia zostały omówione w kolejnych rozdziałach. Należy zwrócić uwagę na fakt, iż omówione warianty służą do zapoznania się z potencjalnymi możliwościami wdrożenia. Comarch MobileID jest rozwiązaniem w 100% rodzimej produkcji, więc jego elementy, ale także samo wdrożenie może zostać dostosowane do indywidualnych potrzeb. Dostarczone elementy zależą od wybranej licencji. 9.1 Komponenty W ramach środowiska Comarch MobileID dostarczane są następujące komponenty systemu: Comarch MobileID Engine - główna część systemu - komponent odpowiedzialny za przeprowadzanie uwierzytelnienia oraz autoryzacji, Comarch MobileID Console - interfejs WWW systemu, Comarch MobileID DB - baza danych zawierająca wszelkie dane związane z funkcjonowaniem rozwiązania. Lista wszystkich interfejsów udostępnianych przez system: konsola WWW dla administratora umożliwia określenie parametrów funkcjonowania systemu oraz zarządzanie kontami użytkowników w nim zarejestrowanych; konsola WWW dla użytkownika umożliwia zarządzanie kontem w systemie (np.: zmianę PINu); SMS sender odpowiada za komunikacje z komponentem wykonującym wysyłanie wiadomości SMS do użytkowników końcowych z linkiem do pobrania midletu Comarch MobileID; RADIUS - interfejs realizujący uwierzytelnianie użytkowników za pomocą protokołu RADIUS API integracyjne - Comarch MobileID może być w łatwy sposób integrowany z innymi działającymi aplikacjami i środowiskami, również z wykorzystaniem dedykowanego API (API external integration) - w skład API wchodzi zestaw metod umożliwiających uwierzytelnianie użytkowników oraz wykonanie wszelkich operacji związanych z zarządzaniem cyklem życia użytkownika w systemie (np.: rejestracja, zmiana PINu, usunięcie konta). 21
9.2 Dostarczenie Comarch MobileID może zostać dostarczony w modelu outsourcingu, w postaci oprogramowania zainstalowanego na fizycznej maszynie lub w postaci samego oprogramowania. 9.2.1 Udostępnione środowisko (outsourcing) W przypadku mniejszych wdrożeń, gdy wykorzystywane będzie od kilku do kilkunastu sztuk aplikacji Comarch MobileID, najbardziej ekonomiczny jest model, w którym klient wykorzystuje utrzymywaną przez firmę Comarch, dostępną z zewnątrz, współdzieloną instalację serwerowej części rozwiązania. W danym przypadku zarządzanie użytkownikami odbywa się za pomocą dostępnej online konsoli, natomiast weryfikacja kodów jednorazowych przez udostępnione w Internecie API. Aby zapewnić należyty poziom bezpieczeństwa takiego modelu, dostęp do API zabezpieczony jest mechanizmami obustronnego SSL. Na tej podstawie ograniczany jest dostęp do usług i następuje uwierzytelnienie systemów klienckich. Każdy klient decydujący się na taki model, otrzymuje wystawiony przez Comarch certyfikat oraz zestaw bibliotek pozwalających na proste wywołanie funkcji API, udostępnionych jako metody Web Service. Biblioteki są dostępne w wersjach dla języków PHP, Java oraz platformy.net. Infrastruktura klienta Internet Infrastruktura COMARCH Biblioteka API API Obustronny SSL Serwer MobileID 22
9.2.2 Software + hardware Całe środowisko Comarch MobileID jest dostarczane na fizycznym serwerze z zainstalowanymi komponentami. Po uruchomieniu serwera wszystkie moduły są gotowe do użycia. 9.2.3 Software Wszystkie komponenty oprogramowania są dostarczane na płycie CD. Ich instalacja i konfiguracja następuje podczas etapu wdrożenia. 9.3 SMS sender Instalacja Comarch MobileID na telefonach komórkowych następuje po pobraniu aplikacji przy pomocy rozesłanego za pomocą wiadomości SMS linka lub z punktu dystrybucyjnego właściwego dla danej platformy. Dla rozesłania aplikacji Comarch MobileID SMSem możliwe jest wykorzystanie infrastruktury Comarch lub własnej infrastruktury klienta. 23
9.3.1 SMS od Comarch Comarch posiada dedykowaną infrastrukturę, która umożliwia rozsyłanie wiadomości SMS dla środowiska MobileID i może być wykorzystana podczas pierwszego pobrania Comarch MobileID przez użytkownika. W danej sytuacji między serwerem Comarch MobileID znajdującym się u Zamawiającego a serwerem wysyłającym wiadomości SMS dla Comarch MobileID znajdującym się w Comarch tworzone jest szyfrowane połączenie. Serwer Comarch MobileID (Zamawiający) korzysta z interfejsu dystrybutora SMS, za pomocą którego przesyłana jest do Comarch wiadomość, która ma być wysłana do konkretnego użytkownika końcowego. Użytkownik po otrzymaniu wiadomości SMS łączy się z serwerem Comarch MobileID u Zamawiającego w celu pobrania właściwej aplikacji Comarch MobileID. 24
9.3.2 SMS od ZAMAWIAJĄCEGO Istnieje możliwość, aby wiadomości SMS były wysyłane bezpośrednio od Zamawiającego. W tym przypadku interfejs SMS sender podpina się do istniejącej bramki SMS wskazanej przez Zamawiającego. Wiadomości SMS mogą być także wysyłane bezpośrednio z telefonu komórkowego podpiętego do serwera. 25
10 Testuj Comarch MobileID Testowa wersja Comarch MobileID jest dostępna w Internecie pod adresem: http://mobileid.comarch.pl. W celu uzyskania szczegółowych informacji na temat produktu, prosimy kontaktować się ze swoim opiekunem biznesowym Comarch SA lub bezpośrednio z działem IT Security R&D Comarch SA (+48 12 646 1000). 26