Wat is de rol fan SecDevOps yn PSD2-neilibjen?

Wat is de rol fan SecDevOps yn PSD2-neilibjen?

Oangeande online betellingen en kredytkaartferwurking hawwe EU-hannelers in skorsing krigen. De feroare rjochtline foar betellingsservices fan 'e Jeropeeske Uny, bekend as PSD2, ferlingde de perioade fan neilibjen oant maart 2021, wêrtroch hannelers en banken feilich bliuwe, wylst de wetjouwing yn limbo bliuwt. En dochs betsjuttet in ferlinging fan 'e termyn net dat bedriuwen op har laurellen kinne rêste. Konsuminten, oerheden en ûntwikkelers ferwachtsje dat banken en oare tsjinsten ree binne om te foldwaan, ideaal foar de deadline fan maart 2021.

Oer de Skriuwer Subho Halder is de mei-oprjochter en CTO fan Appknox. It wichtichste binne hackers bewust fan dizze kwetsberensgap. PSD2-regeljouwing hat as doel om konkurrinsje te fergrutsjen en mear kar te jaan foar konsuminten, mar ek ekstra feiligens foar fitale bankgegevens te leverjen. Dizze ynformaasje ûnfeilich litte is in risikofolle ûndernimming foar kriminelen. Litte wy sjen wêr't wy hjoed binne mei dizze noarmen en hoe bedriuwen belutsen by e-commerce SecDevOps bêste praktiken kinne ymplemintearje yn har PSD2-neilibjen.

1: API-status

Mei yngong fan maart 2019 foldogge 41% fan EU-banken noch net oan takomstige PSD2-noarmen. Hoewol it minder dan de helte is en de krekte persintaazjes per lân ferskille, bliuwt de wichtichste reden dat banken har fuotten slepe itselde: API-testen. De needsaak foar banken om API's te meitsjen foar transaksjonele betellingsgegevens is primêr op 'e PSD2-konformiteitschecklist. Dizze API's moatte ûnder oaren realtime tagong, fraudemonitoring, multi-faktor brûkersautentikaasje, en analyse fan brûkersgedrach leverje. Mei al dizze funksjes is it net lestich om te sjen wêrom't guon ynstellingen stadich binne om te foldwaan. Dizze API's sille lykwols de basis wurde fan digitale finansjele transaksjes yn 'e 2020's en fierder. Bedriuwen en finansjele tsjinstferlieners sille bank-API's brûke om har eigen betellingssystemen te leverjen, mooglik har eigen API's te meitsjen om betellings- en gedrachsgegevens folslein te brûken. Yn feite kinne banken sels ek providers fan tredden (TPP's) wurde, sawol troch it oanmeitsjen as it brûken fan 'e API's fan oare partijen. It ferwachte effekt fan dizze ferhege konkurrinsje is om mear kar te jaan foar konsuminten en dêrom legere prizen, in foarname doel foar elke boarger-minded bestjoersorgaan. Oan it oerflak kinne PDS2-standerts trouwens fertrouwen en feiligens yn digitale finansjele transaksjes ferbetterje. It ropt de fraach op hoe't banken har API's meitsje, en wa't se einiget mei it brûken. En hoe.

2. Feiligens tsjin fraude: wat konsuminten en ynstellingen moatte witte

Yn it hert fan PDS2 binne de API's dy't banken sille meitsje om tsjinsten te leverjen oan TPP's. Feiligens is foarop as banken API's meitsje - se hawwe enoarme tagong ta ús meast fitale finansjele gegevens. Alle details dy't einigje yn 'e hannen fan ûnbetroubere karakters binne ûnderwurpen oan rampen. Lykas wy opmurken, hat in protte fan 'e diskusje oant no ta rjochte op dizze banking API's. Minder omtinken is jûn oan wat PPT's en oare ynstellingen mei har eigen API's úteinlik kinne dwaan. Mei oare wurden, hokker feiligensregels binne d'r foar PPT's? De wierheid is dat hiel lyts. TPP hat ien grutte foardiel en ien grutte flater oer PDS2, dat is ien yn itselde. Foar ien ding binne TPP's net ûnderwurpen oan deselde strange regeljouwing as banken. Dit is ien fan 'e wichtichste bestjoerders fan PDS2: dizze TPP's tastean om betellingsopsjes oan te bieden betsjut mear fleksibiliteit foar konsuminten. Se binne ek net bûn oan deselde legacy IT-ynfrastruktuer as in protte banken. Dizze ferhege mobiliteit komt lykwols op kosten. As in TPP net safolle rigiditeit fereasket om transaksjes te begjinnen te begjinnen, betsjuttet dat dat de feiligens ek minder strang is? Hoe witte konsuminten as har nije betellingprovider de feiligens fan har gegevens beheart?

3: Definearjen fan best practices yn PDS2

Earst moatte PPP's bewust wêze fan 'e risiko's dy't se hawwe. Fraude oanfallen, dêr't kweade brûkers meitsje ringen fan falske akkounts te benutten ferskate foardielen, tanommen mei 26% ferline jier, sels as mear en mear banken ymplemintearje 2FA en oare oplossings te bestriden dizze misdieden. Yn guon mjitte kinne PPT's de feiligens fan klantgegevens ferbetterje. Se kinne ynformaasje diele mei elkoar of mei de banken waans API's se brûke. TPP's mei sterkere befeiligingsprotokollen hawwe in bettere ferkeappunt foar nije klanten: it krekte type kompetysje PDS2 wurdt leaud te provosearjen. Tagelyk moatte nije útdagings wurde konfrontearre foardat in brek bart. Oan 'e iene kant is it kontrolearjen fan' e brûkte API's essensjeel. De API fan elke bank sil konstant wurde ferifiearre, om't in protte TPP's derfan ôfhingje om tsjinsten oan har klanten te leverjen. API's makke troch dizze providers fan tredden sille minder strang hifke wurde. As sadanich wurdt SecDevOps de poartewachter tusken finansjele feiligens en misbrûk fan hacking. D'r binne in oantal stappen dy't elke partij no kin nimme om PSD2 letter feilich te hâlden. Earst is it essensjeel om ynventarisaasje te nimmen fan 'e API's dy't al yn gebrûk binne. Ghost API's, dat is API's dêr't ûntwikkelders tagong ta hawwe jûn en dan fergetten binne, meitsje it makliker om yngongspunten te hacken. Se fuortsmite foardat PSD2 ymplementearje makket de wei nei bettere algemiene feiligens. Foar no hawwe retailers, banken en takomstige PPT's mear dan in jier om te foldwaan oan PSD2. It berikken fan dit doel betsjuttet net allinich it folgjen fan de wet. Elke ynstelling dy't besykje de bêste kwaliteit fan tsjinst te leverjen yn in nije digitale omjouwing moat feiligens in primêre soarch meitsje. Gelokkich foar harren makket it saaklik sin. Konsuminten gravitearje fansels nei it bedriuw dat foar har it wichtichste is. As it giet om befeiliging fan finansjele gegevens, sil de bêste altyd nei de top komme.