В отличие от передачи файлов в оптовой банковской среде, характеризующейся обменом больших объемов между мэйнфреймами в среде с относительно высоким уровнем безопасности («массовая передача файлов»); те, кто работает в розничной банковской среде, характеризуются небольшими объемами и более низкой степенью надежности среды, в которой работают загружаемые устройства. Такими устройствами могут быть, помимо прочего, электронный терминал торговой точки (EPOS), торговый автомат (AVM), банкомат (ATM) или торговый сервер, взаимодействующий с платежными шлюзами. Предполагается, что между субъектами, участвующими в безопасной передаче файлов, существуют заранее установленные отношения, особенно для покрытия юридических и коммерческих аспектов, связанных с обязательствами по передаче файлов. Настоящий международный стандарт применяется к различным видам передачи файлов, используемым в сфере розничных банковских услуг, но не распространяется на сообщения о транзакциях, идентифицированные в ISO 8583. Передача может требовать своевременности и требует по крайней мере одной из следующих служб безопасности:
——аутентификация источника сообщения;
——аутентификация получателя;
——честность;
——конфиденциальность;
——неотказ от происхождения;
——неотказ от поставки;
——проверяемость. Предполагается, что все данные, отправленные отправителем, должны быть подтверждены как законные и правильные до передачи. Различные типы передаваемых файлов могут содержать:
——программное обеспечение;
——совершенные и зарегистрированные розничные операции (выгрузка);
——технические данные эквайера (параметры доступа...), (загрузка);
——данные заявки, относящиеся к эквайеру (список БИН, горячий список,...), (загрузка). Характеристики такой передачи файлов следующие: а) тип передаваемых данных может быть — несекретные данные (сбор розничных транзакций, технических данных и данных приложений); или — секретные данные. б) число объектов, получающих данные, может быть:
——один;
——более одного (трансляция даже с тысячами приёмников). c) каналы связи могут состоять из одного или обоих следующих примеров:
——электросвязь: сеть общего пользования, частная сеть; d) характер передачи может быть следующим:
——передача по прямому соединению в реальном времени (также известная как переключение каналов); или — передача с промежуточным хранением (также известная как коммутация сообщений). П р и м е ч а н и е — Настоящий международный стандарт рассматривает службу безопасности во время передачи. Требования по обеспечению того, чтобы переданные файлы не были изменены после завершения передачи, выходят за рамки настоящего международного стандарта. Допустимые формы безопасной передачи файлов Передача защищенных файлов Функция передачи не предоставляет никаких услуг безопасности, а включает только услуги связи. В этом случае файл должен быть защищен до передачи. Безопасность обеспечивается самими отправителем и получателем. Им не нужно доверять нижним уровням. Уровень безопасности (отправитель и получатель) не добавляется. SFT = Secure File Transfer Безопасная передача файлов. В этом случае безопасность учитывается только на пути от отправителя к получателю, и отправитель полностью доверяет отправителю. Одним из примеров является случай, когда отправителем является отправитель, а безопасность делегируется на уровень передачи. Это не сквозная безопасность, поскольку создатель не добавляет никакой безопасности. В этом случае функция передачи полностью включает в себя услуги безопасности. Файл не обязательно должен быть защищен до безопасной передачи. Безопасная передача защищенных файлов Функции безопасности можно разделить на функцию безопасности и функцию передачи. Одним из примеров является ситуация, когда отправитель создает файл, подписывает его закрытым ключом подписи и шифрует файл ключом, известным только конечному пользователю (получателю). В этом примере задача состоит в том, чтобы никто из организации отправителей не мог видеть содержимое файла отправителя.
BS ISO 15668:2000 История
2000BS ISO 15668:2000 Банковское дело – безопасная передача файлов (розничная торговля)
2000BS ISO 15668:1999 Банковское дело. Безопасная передача файлов (розничная торговля)