SberBusinessAPI (Fintech API)

Сервис SberBusinessAPI (Fintech API) построен на базе современных технологий, которые предоставляют возможность взаимодействия с Банком через сеть Интернет.

Клиент может производить обмен электронными документами с Банком посредством вызова программных функций с заранее определенным списком параметров. В том числе можно передавать черновики платежных поручений в адрес пользователей системы «Сбербанк Бизнес Онлайн», получать выписки по счетам клиентов-юридических лиц с их согласия, направлять платежные поручения и платежные требования на списание денежных средств со счетов клиентов в рамках заранее данных акцептов за услуги Клиента.

Взаимодействие с Сервисом осуществляется через функциональность, встроенную в автоматизированную систему Клиента (далее – АС Клиент), которая должна вызывать функции сервиса и обрабатывать результаты их работы.

Подключение АС Клиента к сети Интернет влечет риски, связанные с несанкционированным доступом к данным, хранящимся на сервере АС.

Соблюдение приведенных ниже рекомендаций позволит Вам максимально безопасно взаимодействовать с сервисом SberBusinessAPI (Fintech API) и свести риски работы через сеть Интернет к минимуму.

Схема взаимодействия

Взаимодействие АС Клиента с сервисом SberBusinessAPI (Fintech API) рекомендуется осуществлять в соответствии со схемой:

Схема взаимодействия АС Клиента с сервисом SberBusinessAPI

При реализации схемы следует учесть следующие рекомендации:

  • Настройками внутреннего межсетевого экрана (Internal Firewall) доступ к серверу АС Клиента рекомендуется разрешить только для серверов и рабочих станций организации, необходимых для использования в производственном процессе:

    • сервера контроллеров домена, обновлений системного и антивирусного ПО;
    • АРМ администраторов сервера АС Клиента.
  • Для подключения АС Клиента к Шлюзу сервиса SberBusinessAPI (Fintech API) Банка на межсетевом экране (External Firewall) необходимо разрешить взаимодействие с интернет-ресурсом fintech.sberbank.ru c использованием протокола HTTPS и передачей ip-пакетов в обоих направлениях для TCP-порта 9443.
  • Подписание ЭД с использованием устройств VPN-Key-TLS рекомендуется осуществлять в отдельном сегменте корпоративной сети.
  • Доступ рабочего места, предназначенного для подписания ЭД с использованием устройств VPN-Key-TLS, к ресурсам и сервисам сети Интернет должен быть исключен.

Меры по защите от вредоносного ПО

На сервере АС Клиента необходимо:

  • использовать современное антивирусное программное обеспечение и следить за его регулярным обновлением;
  • регулярно выполнять антивирусную проверку для своевременного обнаружения вредоносных программ;
  • своевременно устанавливать обновления операционной системы серверов и АРМ администратора, рекомендуемые компанией-производителем в целях устранения выявленных уязвимостей ОС;
  • использовать дополнительное программное обеспечение, позволяющее повысить уровень защиты компьютеров – персональные межсетевые экраны, программы поиска шпионских компонент, программы защиты от «спам»- рассылок и пр.;
  • обеспечить отсутствие несанкционированно установленных программ удаленного доступа (TeamViewer, BeTwin, RAdmin и др.), программ работы с вирусоопасными ресурсами и сервисами сети Интернет, включая почтовые клиенты;
  • исключить установку, полученного из не заслуживающих доверия источников, а также нелицензионного и свободно-распространяемого ПО на сервере с системой. Обращаем Ваше внимание, что сотрудники ПАО «Сбербанк» не рассылают дистрибутивы ПО по электронной почте.

Меры, направленные на защиту от копирования ключевой и парольной информации

Client_Secret – это конфиденциальная информация. Ни при каких обстоятельствах не раскрывайте эти данные никому, включая сотрудников Банка.

При подозрениях на компрометацию постоянного Client_Secret, следует незамедлительно остановить работу с сервисом SberBusinessAPI (Fintech API), направить письмо с запросом о замене Client_Secret и провести смену Client_Secret после его получения от Банка.

В случае компрометации Client_Secret необходимо незамедлительно выполнить его блокировку в соответствии с п.4.2.3 Соглашения.

При доступе АС Клиента к функциям SberBusinessAPI (Fintech API) хранение Client_Secret необходимо осуществлять в ключевом хранилище. Настройками безопасности ОС доступ к ключевому хранилищу рекомендуется предоставлять только для учетной записи АС.

Процедуру замены Client_Secret необходимо проводить в автоматизированном режиме средствами АС без вмешательства пользователей.

При обращении от имени Банка по телефону, электронной почте, через SMS-сообщения лиц с просьбами сообщить или передать конфиденциальную информацию (Client_Secret) ни при каких обстоятельствах не сообщайте данную информацию.

В период, когда Система не используется, необходимо отключать носители с ключами ЭП от сервера, и убирать в места хранения (сейф, и т.п.).

Необходимо выполнять незамедлительную блокировку и смену ключей ЭП в случаях их компрометации, а также по истечении срока действия ключей с периодичностью, установленной договорами и документацией.

ПИН-коды доступа устройств «VPN-Key-TLS» - это конфиденциальная информация. Ни при каких обстоятельствах не раскрывайте эти данные никому, включая сотрудников Банка.

Меры, направленные на защиту от выполнения несанкционированных списаний

Следует регулярно контролировать состояние корреспондентских счетов организации и незамедлительно информировать обслуживающее подразделение Банка обо всех подозрительных или несанкционированных операциях.

В случае неожиданного выхода из строя серверов с модулем подписания с использованием устройств VPN-Key-TLS необходимо прекратить эксплуатацию данных серверов, отключив их от всех видов сетей, включая локальную корпоративную сеть, срочно запросить выписку по счету непосредственно в Банке. При обнаружении несанкционированных платежных операций написать заявление в Банк, а также обратиться с соответствующим заявлением в правоохранительные органы. Работоспособность скомпрометированных серверов не восстанавливать до проведения технической экспертизы. Подписание электронных документов осуществлять с использованием устройств VPN-Key-TLS на других серверах. При этом обязательно произвести смену ключей ЭП.

Меры по поддержанию уровня информационной безопасности

Для обеспечения высокого уровня информационной безопасности при эксплуатации АС Клиента в организации должен быть назначен ответственный, который осуществляет:

  • Постоянный контроль соблюдения мер информационной безопасности, предусмотренных настоящей памяткой;
  • Выявление, устранение и информирование руководства организации обо всех выявленных нарушениях;
  • Контроль устранения выявленных нарушений;
  • Документирование результатов проведенных работ и проверок;
  • Организацию и проведение мероприятий по усилению безопасности в соответствии с информационными сообщениями, которые направляются Банком официальными письмами, а также публикуются на сайте Банка.