?

Log in

No account? Create an account

Previous Entry | Next Entry

*Пит-сто́п (англ. pit stop) — дословно «остановка в месте ремонта»; остановка гонщика в боксах своей команды во время гонки для выполнения дозаправки, смены резины, изменения настроек или быстрого ремонта машины.

14 декабря 2010 г в Минэкономразвития состоялся разговор с регионами по вопросам внедрения "Универсальной электронной карты" www.economy.gov.ru/wps/wcm/connect/economylib4/mer/activity/sections/corpmanagment/electric_card/doc20101209_010. На совещании присутствовали специалисты одноименного акционерного общества www.uecard.ru  и сотрудники некоторых профильных ведомств и министерств.
Разговор был содержательный - анализировались итоги внедрения УЭК в пилотных регионах, рассматривались предложения для новых пилотов. Поскольку совещание проходило свыше 4 часов - иногда были просто фонтаны эмоций, передергиваний, мольб и шуток и серьезных мыслей. В общем было нескучно - полный набор ценностей из серии "женщины, лошади, власть и война".
Довольно подробный пересказ сделал В.Соловьев vkontakte.ru/id10372398 из Архангельска docs.google.com/leaf
Вкратце его выводы со сторону Субъекта РФ:
  • Наблюдается серьезное отставание в готовности и противоречивости НПА, НТА по УЭК
  • Внедрение происходит далеко не так гладко ("Наезд" ФАС на Астрахань) и совсем не за те деньги (>80 млн на старт) как планировалось. Появляются непонятные (>1000 р в год на одну карту) новые расходы.
  • Как субъектам РФ ввязываться в соисполнители - если исполнители сами не до конца уверены в своей работе и результате

Разумеется, Владимир не сильный специалист-карточник и по законам неконструктивного спора его можно было бы заставить заткнуться - мол, давайте обсуждать ананасы с теми кто их ел.  С другой стороны - мне как раз и нравятся такие откровенные разговоры, поскольку ставятся прямые, "неправильные" вопросы - ответ на которые может быть непрост и специалисту и он часто вскрывает истинные причины происходящего ("Претензия - как благо") .  Думаю конечно я занимаюсь не своим делом - ведь разъяснительная работа, "евангелизм" - это первое что нужно делать в проектной команде его лидеру. Пока никаких документов на это тему я ни от Ростелекома, ни от УЕКАРД не видел - а природа она пустоты не терпит.. Мы с Владимиром попытались разложить его вопросы на категории и получилось вот такое некое интервью. 

Q. ОАО УЭК решило, что 30 человек (сами сказали о численности!) их организации будет заниматься  ЭМИТЕНТОМ ФЕДЕРАЛЬНЫХ ПРИЛОЖЕНИЙ часть из которых будет коммерческой (вот так новости!)

Владимир - не все участники имеют единые государственные интересы - если бы прочитали во что превратился закон об НПС (особенно хороша норма - дающая 2-х летний мораторий для западных ПС и дискриминирующая отечественных) то логика бы была бы виднее. Особенно после утечки wikileaks с репликой "одного зам.министра финансов" для компаний США - мол - понимаем, что вы жалеете о комиссии в 4 млрд $, но не дрейфите - еще закон не подписан - делаю все возможное чтобы вам помочь.. wikileaks.ch/articles/2010/Test,32.html

Что касается 210-ФЗ (в главе про УЭК) - то как специалист (я внедрил более 130 банков с пластиковыми картами - в т.ч. ГПБ, ВТБ, АкБАрс, Юниаструм, НРБ и пр) , максимально корректно почти год объяснял госорганам - где там подвохи и как это обычно делается. Самые одиозные куски, к счастью были сняты. Но мусора, увы тоже много. Теперь ваши вопросы

1) Карта должна быть самоокупаемой - увы это лоббизм банков. Окупаемы не сама карта - а ее электронные приложения. Причем есть как "планово-доходные" - транспортная, банковская - так и "планово-убыточные" - идентификационное, социальное. Развивать что-то одно - это значит плохо и по остаточному принципу "топить" все остальное. Такие перекосы функциональности получились и в Москве (Карта Москвича) и Краснодаре (Золотая Корона) - да и у Уралсибе (см. отчет аудиторов - что при выключении из схемы комиссии за перевод средств в Уралсиб - финансово их эмитент превратится в банкрота). Выход - делать мульти-приложенческую карту с разумной аллокацией доходов и расходов и желательно с минимальной завязкой на _конкретные_ банки.
2) Деление карты на "федеральные" и "региональные" - вообще бред. А как будут карты взаимно приниматься в регионах то ? Сразу нужно продумывать вопросы не только транспортной, но и семантической совместимости всех подключаемых ИС (см СМЭВ)
3) Эмитентом карт может быть только Госзнак. Честно говоря непринципиально - карта электронная - и на нее загружаются приложения "удаленно" - какое из них первое, какое второе - вопрос случайности и удобства.. Если рассматривать УЭК как современную карту - то она должна обладать свойствами хранить несколько независимых приложений.
Установка/обновления приложения может быть сделана дистанционно - без непосредственной явки держателя - достаточно предъявления карты в один из "защищенных" пунктов обслуживания - каковым может являться и банкомат.
В этом случае - кто первый привел клиента и дал ему карту-болванку, на которую можно записывать приложения - важно только с маркетинговых целей, ну или с архивных целей - чтобы знать - у кого находится оригинал анкеты-заявки клиента с образцом подписи. Все остальные эмитенты приложений могут либо воспользоваться данными от первого эмитента (если он может выдать вызывающие доверие данные) - либо собрать и записать данные клиента в свое приложение абсолютно автономно - не ставя первого эмитента в известность.
Таким образом - эмитентов может быть теоретически столько же - сколько эмитентов приложений, и выделять особым вниманием Госзнак по меньшей мере странно.
Ну будет идентификационное приложение первым - значит Госзнак, будет финансовое - выступит банк. Т.е. важен эмитент электронного приложения а не карты. Насколько я знаю выбран чип Global Platform который вообще в России не производится , и даже на пластик не сажается. Поэтому Госзнак (я так понимаю Пермь) здесь такой же посредник , что и Розан, Ситроникс и куча других сертифицированных контор. - вопрос в размере их посреднических комиссий.

Если рассматривать УЭК только как сервисную карту доступа - да, но ее планировали к выпуску как уникальный документ гражданина , фактически, под электронный паспорт. Тогда Гознак при чем. Тогда она должна иметь модель угроз выше, чем любое из приложений + сам бланк д.б. бланком строгой отчетности. Правда - а зачем нам второй паспорт ? (вернее уже 3-й с учетом загран). Не много ли желающих вновь "опаспортизовать" население ? В историческом плане паспорт кстати - достаточно новый документ. В том виде, какм есть - он появился в Великобритании в 1915 году. А до этого "паспортом" звали разрешение посетить порт (по-итальянски). Кстати - развитие железных дорог привело к тому - что правительства заваливали прошениями - что "паспорт" это не удобно - и удивительно, многие отменили такую паспортизацию..
Так вот вернусь - вводя какие-то процессуальные нормы - нужно не усугублять уже существующие. Хотите электронный паспорт ? - Отменяйте обычный бумажный. Если хочется что-то типа ПВДНП для внутренних паспортов - можно, вопрос лишь в деньгах и переходном периоде, когда будут ходить одновременно и новые, и старые документы. Насколько я помню Паспорта РФ вводили больше 15 лет - а это означает что 15-ть лет Госзнак будет "электронизироваться" - по сути ни за что не отвечая - мол что вы хотите, - еще недостаточно паспортов выдали.. И кушать, кушать деньги. "Цена вопроса" как я понял - не менее 80 млрд.руб - серъезная сумма, чтобы задуматься - а надо ли идти таким путем в принципе. За УЭК хоть частично коммерсанты могут заплатить (транспортное, платежное приложение вполне могут быть сделаны за счет ЧГП) - и гораздо быстрее, чем 15 лет..

4) Первичные, вторичные ключ и пр. Тоже бред - приложения должны быть максимально развязаны друг от друга ! Только тогда появляется _единственность_ ответственности и персданных. Не должно приложение ГИБДД лазить в приложение ПФР - даже за фамилией. В лучшем случае - через голову можно сделать кросс-запрос - но это опять СМЭВ. А может не нужно так все усложнять ? "Бланки строгой отчетности" - не более чем метафора. С такими бланками работают большинство организаций - скажем трудовая книжка - тоже бланк строгой отчетности, и классный журнал в школе нужно хранить 75 лет, само собой в банках пластиковые заготовки (особенно чиповые) хранятся за толстыми бронированными дверями - ведь никто не умер ? Зато я видел на своем "банковском веку" чуть не ежедневно кучу желающих подкормиться на этой "секретности" - от производителей ПО и навязчивых услуг - до местных отделов метрологий, желающих что-то мне там застандартизировать.. И в то же время НИ ОДИН не готов дать гарантии на успешную судебную перспективу - т.е. реально прав мне как организации/гражданин - доказуемых в общегражданских судах - не дал. Скажем ни один производитель ЭЦП (не знаю может кто-то сегодня и есть) не дал финансовые гарантии по защищаемомому контенту, и ни одна страховая не согласилась учесть их рекомендации..
Я думаю - что абсолют должен быть только в одном - защита человеческой жизни и здоровья - потому что оно бесценно, для всего остального должны быть разумные послабления и оптимизация по финансово-целевому критерию.

5) "Но пока системы МПС (международные платежные системы) не предполагают размещение платежного приложения на втором уровне безопасности (что вроде логично - нет ничего ценнее для человека чем деньги)" - ой, ну да что вы.. На одноэмитентных и локальных картах это сплошь и рядом (Сберкарт BGS например - разработчики и не думали о взаимоприеме карт какого-нибудь Металинвестбанка в сети Сбера и наоборот..) И то что проблемно с точки зрения техники - можно обойти организационо. Например перечислять деньги только после звонка одного банка другому (так Золотая Корона частенько делает)

Q. Чем больше карточек тем сильнее размажется стоимость... там 80 000 карт (у них там дорогой проект с биометрией)

Не надо про стандарты - они настолько устаревшие и настолько тупые (зато надежные) - что лучше о них как об удорожающей экзотике не говорить.
Как человек, который сделал проект УЭК на 5 тыс. карт еще в 1996 году :-) расскажу. Думаю, если мы хотим учесть интересы всех сторон (не формально, пообещать и забыть - а реально и вдумчиво) - в архитектуре должны быть заложены реальные механизмы учета этих интересов, и естественно "контринтересов". Допустим, постулизируем - что центр эмиссии один - Госзнак. Плюсы - единство технологий, единый центр принятия решений. Минусы - монополист со всеми вытекающими последствиями - нерыночное ценообразование на карты и услуги, лоббирование устаревших решений, возможность "семейственности" (типа истории с московскими карточками метро) .
Я не говорю про технические проблемы - моноэмитентная система (Сберкарт, ЗК, Аккорд) уязвима от кражи генерального ключа системы и дискредитации всей схемы безопасности. Пока его не крали - но это вопрос времени и денег.. Про качество ПО для бэкофиса карточек я молчу - поскольку монополисты - у пользователей есть только 2 выхода - либо пользоваться, либо идти вдаль..
Мультиэмитентная система - много поставщиков карт, много поставщиков терминалов, много поставщиков ПО ведомственных/региональных/финансовых приложений - избавлена от таких недостатков. Хотя стандарты и там нужны - но другого рода. И кстати - их понадобится меньше.
Нужны стандарты скорее не технические - а организационные, финансовые - все то , что будет двигать "кровь" в этом организме и давать ему энергию. Остальное - пусть решает разработчик системы самостоятельно. Не скрою - мой идеал - решение Global Platform - где четко очерчивается ответственность (и безответственность) участников. И по-бытовому - мне понятнее чем какой-нибудь Урюпинсксофт скажет - парень, стойкость нашего ключа таковая - что он будет взломан через 3 месяца, но мы специально поставили на карту срок службы - 2 месяца, который будет автоматически обновляться при любом предъявлении ее в сети. Чем Госзнак (ну или еще кто) - заявит - у нас абсолютно защищенная система, у нее мега память - при этом "бросив" меня наедине с пиратами, с арбитражем и со страхованием убытков.
Опять же как _практик_ - скажу - а вы жили несколько лет с офф-лайновой картой сами ? А вам приходилось терпеливо обивать пороги ведомств, которые за тонны бумажек записывали на карту какие-то идентификаторы ? А потом банально вы кладете карту в задний карман брюк - и она с хрустом ломается на мягком сиденье - вместе со всей вашей историей жизни !? Скажете - сам дурак, да дурак - но я хочу жить комфортно и легко - как и полагается дураку :-) Так что мое предложение открыто - если кто-то говорит - что его решение безопасно - я предлагаю сделку, зарегистрировать все финансовые риски на себя. Если не готов, или готов зарегистрировать риск на 100 руб за 99 - то пусть лучше такие слова не говорит, это лишь лозунги...

Q. Можно наверно предлагать приложения СКУД на мифэйре

НЕТ !!!  Компания NXP не рекомендует использование классического MIFARE в новых проектах. Это связано с тем, что криптоалгоритм MIFARE взломан, ключи не диверсифицированы, а MIFARE Ultralight вообще не имеет защиты от копирования смарт билетов. ( Не случайно, бывшие сотрудники московского метрополитена смогли выпустить около 5 млн (!!!) фальшивых билетов ) В Лондоне уже начата миграция с MIFARE Classic на DESFIRE. В УЭК, судя по выбранным картам Optelio D8 V14/M40 R2/R3 с дуальным интерфейсом и эмуляцией MIFARE 1K, это будет сделать НЕЛЬЗЯ.

Q. Приложения в Global Platform и так развязаны, но есть иерархия ключей 


Это ключ платежной системы. Да - компроментация ключа ПС "вырубает" всю сеть. Но что то я не слышал даже о межрегиональном приеме и вообще мультиэмитентной среде. Во-вторых - вся PKI инфраструктура IMHO еще не то что переварена, она даже не придумана ФСБ/ФСО (см docs.google.com/leaf )
в том числе - УЦ первого уровня не проходит полноценно тесты, то что в "грефовской карте" не ГОСТ, а RSA похоже для "компетентных лиц" было откровением , самостоятельно придумать карту GP - это вам не метрошные чипы делать - это ого-го какая интеллектуальная работа (Французы практически на 100% держать монополию на этом рынке - и быстрее они нам Мистраль продадут, чем исходные тексты чиповой операционки - это же их часть стратегии по установлению мирового господства :-) ) плюс - "контора" крайне нервно относится к динамическим Java приложениям - а это суть GP - в итоге мы скатываемся к уже вдоль и поперек наезженной 10-ти летней давности технологии EMV на до байтика отлаженных кодах "Золотая Корона", "Union Card", "U.E.P.S" - но не по цене распродажи, само собой разумеющейся при таком сроке аммортизации - а с наценкой на повторное ее "переоткрытие" и "ребрендинг" :-)

Q. И если владелец первого домена УЭК захочет, то завтра в системе обслуживания окажется задание на удаление/блокировку всех приложений на карте и владельцы вторых и третих ключей ничего с этим поделать не смогут
напоминаю - карта то чаще будет работать в off-line - а закон о "пространстве цифрового доверия" в части RFC 2560 - Online Certificate Status Protocol (OCSP) затух ( см tri-botinka.livejournal.com/18477.html )

Q. А если разместить ЭЦП как приложение, одним-двумя-тремя файлами
Вполне возможно - это зовется "карта памяти" и использовалось в картах GPM896 (BGS) и Motorolla Solaic (Золотая корона до 1994 года) - но это очень древнее решение - стоят $ 1 за килограмм :-) . Проблема в том что там лежит секретный ключ - который выковырять через последовательные порты (ISO 7816) сможет даже ребенок. Алгоритм подписи в компьютере - тоже легко подменяется. Поэтому развитием стали защищенные (R/O, W/O), потом микропроцессорные карты - которые применяли авторизацию по PIN , а затем и криптопроцессоры - которые вообще не показывали секретный ключ - а шифровали внутри карты и выдавали наружу уже результат. Но проблема "внешнего несекретного контура" осталась - и появились шифрующие PIN-pad, SAM модули - в итоге общение происходит не в компе, а специальной железке - и обмен происходит в шифрованном виде между двумя картами - клиентской и SAM. В случае вскрытия железка необратимо уничтожает секретную часть. Так было сделано в Эстонии и есть во всех микропроцессорных ПС.
Разумеется - если повырубать "все фичи" из карты GP можно сделать простую карту памяти. И микроскопом можно гвозди забивать (особенно если микроскоп стоит как гвоздь)

Q. Ведь разрешаем мы размещать ЭЦП на токенах, на флешках..
Флешка - флешке рознь . Сертификат ФСБ имеет лишь одна www.bifit.com/ru/company/press/usb-token.html

Q. Или я заблуждаюсь в реализации?
Я тоже "заблудился" таком управлении. Достаточно было взять справочник "Кто есть кто на пластиковом рынке России" (желательно сразу начать с буквы "Д" :-) - и спроектировать современную НПС. Чиновникам и Минэка, и МКС неоднократно говорили - ребята, заключаем договор - и "обконсультируем" вас до одурения.. Работаем абсолютно по-честному - конкурс, аукцион, хотите через разовые акты.. Но нет - пошли через освоение сметы. Вначале Минздравсоцразвития тратит 40 млн на какой то "Системный проект УЭК", затем что то тратил Минэк - и опять все крайне поверхностно. Понимание что в ИТ нужно делать или профессионально, или никак не пришло (машина-дура - она лозунгами не питается)
Ясно, что как сказал позавчера Дж,Уэлс в "Сколково" - "Боже вас упаси отдавать нормотворчество в частные руки. Бизнес думает только о прибыли и первым делом мечтает удавить конкурентов" .. но так есть принципы структуры управления - единоначалие, разделение контрольных функций и исполнительских, трассировка целеполагания на мероприятия и пр. - вот "разделяете и властвуйте". За государством - нормативка, за консорциум бизнеса - инвестиции, за экспертами - техстандарты и архитектура, за "свободными программерами" - наполнение ПО всего скелета применения.

Ведь главные цели УЭК какие в 210-ФЗ
1) "Подвинуть" международные системы Visa, Mastercard - создав им достойного локального конкурента - мультиэмитентную межбанковскую ПС - для того чтобы перенаправить $4 млрд ежегодных комиссий в российский ВВП и перестать за нами шпионить и "наказывать" за плохое поведение.
2) Перейти с магнитной карты на интеллектуальную , работающую в off-line , Internet, электроных деньгах, операторов связи - за счет этого открыть новые региональные рынки "кефирных платежей" и пр. - значительно повысив долю безналичных расчетов - а вследствие этого противодействовать коррупции и увеличению сбора налогов.
3) Унифицировать государственые, ведомственные, региональные, муниципальные ИС - так чтобы скажем соцкарта Рязани по соцприложениям однозначно считывалась в Белгороде, а бензиновая карта Татарстана в СПБ
4) Обеспечить сквозную юридическую значимость всех электронных действий и их однозначное принятие в нашем документообороте и судебных органах.
5) Создать надежные и конкурентные элементы инфраструктуры - изготовления карт, оборудования, финансовых брокеров, расчетных банков, производителей ПО
6) Включить механизмы ЧГП - минимизировав или "выключив" использование бюджетных средств - за счет самодостаточности и самоорганизации объектов УЭК+НПС


Q. Вот и я так думал, думаю что президент тоже так думал...А выходит нас ведут не в туда....
Вы знаете Владимир, а никто и не обещал легкого фана. На моем опыте было раз 10 попыток создания НПС. Об этом задумывались и Сибторгбанк, и ТУБ, и ИнкомБанк, и СБС-Агро, Российский Кредит, Онексим, STB-Card, и Union Card, и Золотая Корона, и Сбербанк, и .. ну в общем похожая мысль приходила в голову всем ~ 70 банкам, имеющим свой процессинговый центр "международного класса". Плюс это всегда была "голубая мечта" ЦБ РФ. Вам не приходило в голову что если бы для этого были условия - то это произошло бы гораздо раньше ? Ведь явно предыдущие инициаторы тоже были вполне себе успешны, богаты и власть к ним была вполне благосклонна. (Что касается граждан - увы промолчу, когда их кто особо спрашивал)
И каждый раз находилась какая нибудь пакость, недооцененная исполнителями - которая запарывала все дело. В классике - у того же И.Голдратта написано - что поиск "блока ограничений" - это почти что таинство - он НИКОГДА не на поверхности, на него вам не покажут пальцем - вы будете бесконечно отвлекаться на ложные цели - а в это время у вас под носом будут размножаться настоящие ужасы - политика, банкротство, интриги, обманы, воровство, лень, глупость, самонадеянность и куча других _реальных_ пороков в проекте. Как "вычислить" и вырвать этот корень зла - долго рассказывать - лучше прочитайте его "Теорию ограничений".

И в этой пробуксовке я коллег из АП, МКС, Минэка особо и не виню. Бюджетных денег на это в рамках ФЦП "ЭР" не ушло. А то что Сбер или Уралсиб "влипли" на ~ 300 млн. - ну так это их бизнес-риски. С другой стороны Сбер получил в 2010 г. рекордную прибыль (думаю в том числе на 100% отработав и лояльность государства) - так что в плюсе все равно остались.
Вывод - который можно сделать из этой темы - то что предложенные технологии, организованное взаимодействие и роли участников были выбраны неверно. Они не привели к успеху проекта. И было бы глупо начать заставлять играть в этот "покер" других участников (субъекты РФ, банки, производителей).
Не дай Бог мы бы начали играть в эти игры в каком-нибудь регионе со сложившейся инфраструктурой - не в Астрахани где приходилось начинать с чистого листа - а в Москве, Поволжье, Западной Сибири - там где уровень банковских технологий практически на мировом уровне, или скажем в СПб - где и Уралсиб и Сбер на заслуженных "вторых" ролях (поактивнее надо) - да там масштабы убытков и социальное недовольство что от внедрения стало только хуже - катапультировали бы проектную команду далеко на Альфу Центавра :-) Так что не разобравшись досконально в причинах неуспеха и не перегруппировав команду (со стороны банков, ФОИВ, ОГВ Субъектов, экспертов) и ключевые параметры целей и мероприятий - двигаться нельзя. Потеряем гораздо больше денег (по моей оценке не менее $2-3 млрд) - и тоже с очень скромным, на грани фола результатом.

Q. Будут ли сдвигаться сроки по 210-фз в части УЭК ? Как например это происходит со 152-фз
Не по зарплате вопрос :-) С точки зрения выполнения проекта - он неуспешен и есть за что 22-го числа "отхимерить". Я бы отметил "выдающуюся" роль безопасников - чтобы ни за год, а то и за 8 лет со времени 1-ФЗ не "родить" ни одного мало мальски нормативного (правового. технического) документа (из требуемых ~ 50) - это нужно шоколада переесть. Значит нужно брать EC-овские стандарты и их утверждать ГОСТом (ФЗ "О техническом регулировании" это позволяет) - снимая в педагогических целях по одной звездочке с погон проектной команды за каждый _вынужденно_ переведенный техстандарт и НПА. (В Ирландии 14-ти летняя девочка (!) придумала мощнейший алгоритм шифрования, в США - 17-ти летний - генное шифрование, да и Галуа был 21 год - вот как Родину любить надо..).

В общем, как жить дальше - а это уже другой проект, с другими задачами, бюджетами, целями и персоналиями.. История на этом не заканчивается...

P.S. Ввиду того что многие исполнители процесса по УЭК "тихушничают", часть личных выводов носила непрямой, косвенный и вероятностный характер. Готов предоставить площадку для ответной речи - нет ничего приятнее для ума чем созидательный и конструктивный спор, людей болеющих за одно дело.

Comments

( 17 comments — Leave a comment )
white_palex
Dec. 17th, 2010 10:41 am (UTC)
: ) Я только морфия просил, а не оценки, которая очевидна
Но труд, вы сделали в точку. Надо ссылку Дворковичу послать. :)
tri_botinka
Dec. 17th, 2010 02:57 pm (UTC)
Re: : ) Я только морфия просил, а не оценки, которая очевид
Вот меня и удивило - зачем Минэк захотел под собой сук отпилить. Ведь ясно - что и УЭК тема уже давно "пересолена" еще со времен РИК - РИК-2, и Сбер почти безнадежно 5 лет (с 2005 по 2010 г) пытался сделать мультиэмитентной свой "Сберкарт" (ОРПС) - пока не ликвидировал преприятие насовсем.

Может они и умные, но какие-то "нефартовые" оказались. И в такой проектной команде умножение "минуса" на "минус" даст плюс только математически. А в жизни опять вышел минус..

И это еще в июне эксперты говорили .

http://rutube.ru/tracks/3381779.html

http://rutube.ru/tracks/3381789.html

http://rutube.ru/tracks/3381806.html

http://rutube.ru/tracks/3381794.html

http://rutube.ru/tracks/3381817.html

http://rutube.ru/tracks/3381783.html

http://rutube.ru/tracks/3381840.html

Они же не депутаты - "соврут и забудут" :-) там была логика и причинно-следственная связь. Так что я скорее на стороне субъектов РФ - ребята-федералы вы сначала между собой договоритесь, весь ландшфт НПА напишите, а затем и о финансировании заикайтесь и пилотировании. Жаль что отсутствие УЭК потянет за собой смещение 4-5 этапа оказания госуслуг - заслуженных народных упреков "единственные исполнители" получат по-полной...

p.s. А еще висит под 2-е чтение закон о НПС - там 30 (!) отссылочных НПА содержится (что сильно не нравится ФАС и экспертному сообществу)
harajuku_blue_b
Dec. 17th, 2010 03:05 pm (UTC)
=Деление карты на "федеральные" и "региональные" - вообще бред. А как будут карты взаимно приниматься в регионах то ?=
Деление на фед/рег самих карт - или деление приложений?
tri_botinka
Dec. 17th, 2010 03:22 pm (UTC)
в том то и дело, что карт. Ну и в создание супер-пупер регионального приложения ничего хорошего не вижу. Нужно устранять "цифровое неравенство" а не его углублять.
openysheva_sv
Dec. 17th, 2010 04:15 pm (UTC)
Кому-то это выгодно
harajuku_blue_b
Dec. 17th, 2010 05:59 pm (UTC)
=Нужно устранять "цифровое неравенство" а не его углублять.=
Кому нужно? Законодателям явно не нужно.

"Россиянам заменят полисы медицинского страхования и сократят объем медпомощи
Неработающим пенсионерам государство "прософинансирует" медстрахование - в размере 1000 рублей в год, а медпомощь в полном объеме можно будет получить только у себя в регионе. Как передает корреспондент ИА REGNUM Новости, 16 ноября пакет законопроектов "Об обязательном медицинском страховании в РФ" Государственная дума РФ приняла во втором чтении. Застрахованные лица наделяются правами на бесплатное оказание медпомощи в поликлиниках и больницах при наступлении страхового случая - на всей территории РФ в объеме базовой программы ОМС, а на территории субъекта РФ, в котором выдан полис ОМС, в объеме территориальной программы ОМС."
http://www.regnum.ru/news/fd-siberia/novosib/1346958.html

Понятно, что без регионального приложения такое не реализовать.
(Конституция походя приравнена к надписи на заборе, но это уже не удивляет).

А федеральные карты - это, наверное, по функционалу (типа той же ОМС)?
На самом деле, чем больше будет отдельных карт - тем лучше (для граждан).
Хотя, конечно, если удостоверение личности оказывается "несовместимо" за пределами региона - это весело :))


white_sterh
Dec. 30th, 2010 09:25 am (UTC)
Что Вы закладываете в понятие "приложение" в контексте карты? Набор идентификаторов??
tri_botinka
Dec. 30th, 2010 09:51 am (UTC)
Карта может быть как пассивным "хранилищем данных" - тот же ID, выдаваемых безо всяких ограничений , так и активной вещью - кроме данных, храня и запуская на обработку внутри защищенного контура "карта-устройство" алгоритмы для специальных прикладных задач.
Как Н.Вирт сказал Программы=Данные+Алгоритмы
Поскольку и то и другое хранится в виде 0,1 последовательностей, технически согласен с определением из 23-й главы 210-ФЗ

"1. Электронное приложение универсальной электронной карты (далее также - электронное приложение) представляет собой уникальную последовательность символов, записанную на электронном носителе универсальной электронной карты и предназначенную для авторизованного доступа пользователя такой картой к получению финансовой, транспортной или иной услуги, в том числе государственной или муниципальной услуги. Универсальная электронная карта может иметь несколько независимо функционирующих электронных приложений.
2. Федеральные электронные приложения обеспечивают получение государственных услуг и услуг иных организаций на всей территории Российской Федерации в соответствии с федеральными законами или постановлениями Правительства Российской Федерации.
3. Региональные электронные приложения обеспечивают получение государственных услуг и услуг иных организаций в соответствии с нормативными правовыми актами субъекта Российской Федерации.
4. Муниципальные электронные приложения обеспечивают получение муниципальных услуг и услуг иных организаций в соответствии с муниципальными правовыми актами.
5. Универсальная электронная карта должна иметь федеральные электронные приложения, обеспечивающие:
1) идентификацию пользователя универсальной электронной картой в целях получения им при ее использовании доступа к государственным услугам и услугам иных организаций;
2) получение государственных услуг в системе обязательного медицинского страхования (полис обязательного медицинского страхования);
3) получение государственных услуг в системе обязательного пенсионного страхования (страховое свидетельство обязательного пенсионного страхования);
4) получение банковских услуг (электронное банковское приложение)..."
white_sterh
Dec. 30th, 2010 10:16 pm (UTC)
Многие и я в том числе считают 210-ФЗ мягко говоря "сырым", особенно главы 6 и 7 :)именно они содержат пункты впрямую противоречащие нормам ГК РФ.


"1) идентификацию пользователя универсальной электронной картой в целях получения им при ее использовании доступа к государственным услугам и услугам иных организаций;" ну не могу промолчать :) идентификацию проходит карта, держатель может пройти верификацию :)

Вы не ответили на вопрос, как трактует 210-ФЗ карточный аплет, я в курсе :) Можно я перефразирую? Есть хостовая логика, т.е. карта несёт на себе лишь набор идентификаторов (MODS Мастера) имеет ли место быть логика обратная? и если можно прикладной пример.
tri_botinka
Dec. 31st, 2010 04:58 am (UTC)
>особенно главы 6 и 7 :)именно они содержат пункты впрямую противоречащие нормам ГК РФ.

Более 150 НПА, в том числе полсотни ФЗ нужно менять под электроправительство. Вы думаете у нас так умеют быстро правительство и (особенно) дума работать ?

>имеет ли место быть логика обратная? и если можно прикладной пример.

Мне кажется у вас on-line в голове прочно застрял. В off-line это чаще применяется из прикладных - на карте может лежать список объектов (подпись, номера устройств, счетов, номера тарифов) -который выдается более оптимальным в ответ на получение внешних данных об окружении. Активная логика часто применяется и для "потоковой работы" с данными - те же карточки спутникового ТВ - на вход заходит шифрованный поток с тв-картинкой вперемешку со служебной инфой - на выходе дешифрированные данные и списки текущих сессионных ключей по каналам. Тот же SAM модуль - это не карта что ли ?
white_sterh
Dec. 29th, 2010 09:53 am (UTC)

Вы извините, но все эти разговоры для бедных... Есть стандарты EMV, GP... не нужно изобретать велосипеда, нужно приложение платежное CPA с сертификацией в EMV и поддержка GP с сертификацией, вменяемые "правила игры", извините за грубость дешевле "украсть" опять же МПС виоры и адаптировать..... Все остальные варианты не играют, ЗАО Сберкарта это доказала, на мой взгляд
tri_botinka
Dec. 30th, 2010 10:05 am (UTC)
Да нет же ! Попытка упростить задачку, выбросив или свернув переменные до одного "ключевого требования" изначально обречена на провал. Вы говорите - стандарты - так СТБ-Кард или Union Card были изначально технологически максимально приближены к МПС. Дало им это преимущество ? Нет - потому как только МПС почуствовали подвох они быстро деятельность этих конкурентов прикрыли.
Второй вопрос - откуда эти стандарты берутся ? Это тоже не "свободная рука рынка" - а результат подковерной борьбы и интриги по легализации внутрифирменных технологий. Думаю Toshiba до последнего билась за то чтобы HD-DVD "сделал" Blue-Ray, мечтая по-своему завоевать мир.
В стандартах МПС есть много вещей избыточных, унаследованных от 40-50 лет развития или рабочие, но явно тупиковые ветки (например концепция эквайринга, MCC, MCG и пр), излишняя иерархичность (вместо плоской модели отношений) - поэтому втупую калькировать их будет дорого и медленно..
Не считаю я "серебряной пулей" и акцент только на организационную структуру в ущерб технике.
В общем - УЭК - это точно многомерный кластер, где есть несколько систем координат - архитектура бизнеса, архитектура управления, техническая архитектура, архитектура развития и пр. Можно либо идти по этим "граням" последовательно - можно "змейкой", можно по всем координатам сразу - но я этой логики-"принципов" пока не увидел
white_sterh
Dec. 30th, 2010 09:48 pm (UTC)
"Нет - потому как только МПС почуствовали подвох они быстро деятельность этих конкурентов прикрыли."
Я очень Вас прошу, давайте уважительно вести дискусию, в свою очередь, позвольте Вас уверить что к дефолту 1998 года МПС не имели никакого отношения. Я в отличии от Вас не так давно в карточном бизнесе с 1995 года, но прекрасно помню название банков доноров указанных ПС АВтобанк и СБС Агро (начинал, конечно Столичный) :)
По вопросу откуда беруться стандарты :) Например, стандарт протокола NDC разработан производителем банкоматов бренда NCR.
Про тупиковые ветви, при отсутсвии "прорывных" технологических направлений как то, на мой взгляд, нескромно, не находите?
ЗАО УЕК, опять же на мой взгляд, с учётом доступной мне информации, тот же ЗАО Сберкарт, с теми же целями и, увы, с тем же предсказуемым результатом....
tri_botinka
Dec. 31st, 2010 04:51 am (UTC)
IMHO я и так эмоции придавливаю. И при чем тут дефолт то ? Кстати, не подскажете - отчего вопреки всем правилам с 17 августа были отказы в авторизации почти для всех российских эмитентов ? Можете показать на этот пункт в regulation's ? Это и есть диспозитивный характер по отношению к российским банкам со стороны МПС. Если у вас такой опыт - не припомните как получал скажем Citibank лицензию на российский эквайринг ? А сколько попыток делали UC или ЗК чтобы принимать в своей сети VISA ?
>По вопросу откуда беруться стандарты :) Например, стандарт протокола NDC разработан производителем банкоматов бренда NCR.
Я и говорю - стандарты - вещь двоякая. Нет такого промпроизводителя, не мечтающего стать "стандартодателем" - и в свою очередь сохранить капиталовложения - да еще и получив на время монопольные преимущества. У Джоэла в главке "Натиск и огонь" описывались причины отчего так часто Microsoft меняет вроде бы схожие технологии - например доступ к данным - dbLibrary, ODBC, RDO, ADO, ADO.NET и пр. По его мнению - это "стрельба поверх голов" - чтобы руками пользователей приостановить наступление конкурентов, начавших после стандарта спешно ломать уже готовые продукты - и дать фору для тех кто придумал стандарт..
>ЗАО УЕК, опять же на мой взгляд, с учётом доступной мне информации, тот же ЗАО Сберкарт, с теми же целями и, увы, с тем же предсказуемым результатом....
В чем тот же ? Люди другие, представители заказчиков другие, карт.носитель другой, оргструктура управления другая - дважды в одну реку не входят. Если для вас это одинаково - значит вы не хотите или не видите разницу.
white_sterh
Jan. 14th, 2011 05:19 am (UTC)
"..Люди другие, представители заказчиков другие, карт.носитель другой, оргструктура управления другая - дважды в одну реку не входят. Если для вас это одинаково - значит вы не хотите или не видите разницу. "

Я бы хотел видеть разницу, но если её нет даже моё большое желание в этом не помошник...

Вы не подскажите должность Ж.А. Майоровой в ЗАО Сберкарт? :)))) в ОАО УЕК она генеральный :)))
Cберкарта меняла и будет менять официальное поименование, не меняя своей сущности, она уже была ОРПС :) ПРО100 :) теперь видимо станет УЕК :)
ОАО вместо ЗАО :) а с заказчиком я Вас не понял...


Для меня всё это одинаково, а для Вас?
white_sterh
Dec. 31st, 2010 08:33 am (UTC)
Предлагаю продолжить в новом году :)
А сейчас с наступающим, успехов и удачи Вам и Вашим читателям в Новом году.
( 17 comments — Leave a comment )