суббота, 10 сентября 2011 г.

Борьба с мошенниками

Во время моей работы в банке нам приходилось бороться с так называемыми дропами. Т.е. людьми, которые занимаются обналичиванием краденных денег через банковские карты. И большой проблемой были люди, которые открывали счет сначала в одном банке. Потом когда там закрывали их счет за такие операции обналичивания, они шли в следующий банк и так далее. Возникает вопрос, как узнать, что человек уже участвовал в схемах обналичивания или других негативных схемах и не открывать ему счет или применять некие средства контроля? 
И тогда возникла идея организовать обмен такой информацией между банками и заинтересованными организациями. Но как это сделать не нарушая закон о банковской деятельности и закон о персональных данных? Одним из вариантов видится объединение участников в некую сеть и организация обмена информацией на базе некоего сервера для обмена. Но при этом на сервере не должно храниться никакой информации. Т.е. это просто некий сервер для связи. 
Схема работы могла быть такой. Есть некое клиентское ПО. В него заносятся ФИО человека, его дата рождения и некая "Соль" для усложнения взлома хеша. Считается хеш полученной строки и результат передается на сервер. Сервер отправляет запрос наличия такого хеша членам сети. Соответственно, банк или другая организация получив запрос от сервера производит поиск по заранее просчитанным хешам известных ему дропов или мошенников. Если совпадение есть, то он отправляет серверу флаг. Таким образом, сервер получает от участников обмена флаги, говорящие о том, что на запрашиваемое лицо есть негатив. Но при этом сервер не фиксирует от кого получена информация и какой именно негатив. После получения всех ответов сервер передает результат инициатору запроса. Инициатор на основании количества флагов может принимать некие решения и учитывать риски. Например, ставя клиента на контроль. Таким образом мы не раскрываем информацию о клиентах, не передаем ПДн в открытом виде. 
Вроде бы на первый взгляд все должно быть хорошо. Возможно коллеги найдут уязвимые места такого алгоритма. Готов выслушать.

Комментариев нет:

Отправить комментарий