Jeśli chodzi o płatności online i przetwarzanie kart kredytowych, detaliści z UE otrzymali blokadę. Zmieniona dyrektywa Unii Europejskiej w sprawie usług płatniczych, znana jako PSD2, wydłużyła okres zgodności do marca 2021 r., pozostawiając detalistom i bankom bezpieczeństwo, podczas gdy przepisy pozostają w zawieszeniu. Jednak wydłużenie terminu nie oznacza, że firmy mogą spocząć na laurach. Konsumenci, rządy i deweloperzy oczekują, że banki i inne usługi będą gotowe do spełnienia wymogów, najlepiej przed terminem przypadającym na marzec 2021 r.
O autorze Subho Halder jest współzałożycielem i CTO firmy Appknox. Co najważniejsze, hakerzy są świadomi tej luki w zabezpieczeniach. Regulacje PSD2 mają na celu zwiększenie konkurencji i zapewnienie konsumentom większego wyboru, ale także dodatkowe zabezpieczenie ważnych danych bankowych. Pozostawienie tych informacji w niepewności jest ryzykownym wypadem dla przestępców. Zobaczmy, gdzie jesteśmy dzisiaj z tymi standardami i jak firmy zajmujące się handlem elektronicznym mogą wdrożyć najlepsze praktyki SecDevOps w zakresie zgodności z PSD2.
1: stan interfejsu API
Według stanu na marzec 2019 r. 41% banków w UE nadal nie spełnia przyszłych standardów PSD2. Chociaż jest to mniej niż połowa, a dokładne wartości procentowe różnią się w zależności od kraju, główny powód, dla którego banki ociągają się, pozostaje taki sam: testy API. Konieczność tworzenia przez banki interfejsów API dla transakcyjnych danych płatniczych znajduje się przede wszystkim na liście kontrolnej zgodności z PSD2. Te interfejsy API muszą między innymi zapewniać dostęp w czasie rzeczywistym, monitorowanie oszustw, wieloskładnikowe uwierzytelnianie użytkowników i analizę zachowań użytkowników. Biorąc pod uwagę wszystkie te funkcje, nietrudno zrozumieć, dlaczego niektóre instytucje powoli się dostosowują. Jednak te interfejsy API staną się podstawą cyfrowych transakcji finansowych w latach 2020. i później. Firmy i dostawcy usług finansowych będą korzystać z bankowych interfejsów API, aby zapewnić własne systemy płatności, być może tworząc własne interfejsy API, aby w pełni wykorzystać dane dotyczące płatności i zachowań. W rzeczywistości same banki mogłyby również stać się dostawcami stron trzecich (TPP), zarówno poprzez tworzenie, jak i korzystanie z interfejsów API innych stron. Oczekiwanym skutkiem tej zwiększonej konkurencji jest zapewnienie konsumentom większego wyboru, a tym samym niższych cen, co jest szlachetnym celem każdego organu rządowego zorientowanego na obywatela. Na pierwszy rzut oka standardy PDS2 mogą w rzeczywistości poprawić zaufanie i bezpieczeństwo cyfrowych transakcji finansowych. Rodzi to pytanie, w jaki sposób banki tworzą swoje interfejsy API i kto ostatecznie z nich korzysta. I jak.
2. Zabezpieczenie przed oszustwami: co konsumenci i instytucje powinni wiedzieć
Sercem PDS2 są API, które banki utworzą w celu świadczenia usług na rzecz TPP. Bezpieczeństwo jest najważniejsze, gdy banki tworzą interfejsy API: mają ogromny dostęp do naszych najważniejszych danych finansowych. Wszelkie szczegóły, które trafią w ręce niewiarygodnych postaci, są narażone na katastrofę. Jak zauważyliśmy, większość dotychczasowych dyskusji koncentrowała się na bankowych interfejsach API. Mniej uwagi poświęcono temu, co PPT i inne instytucje mogą zrobić z własnymi interfejsami API. Innymi słowy, jakie zasady bezpieczeństwa obowiązują w przypadku PPT? Prawda jest taka, że bardzo mało. TPP ma jedną główną zaletę i jedną poważną wadę w stosunku do PDS2, która jest jednym w tym samym. Po pierwsze, TPP nie podlegają takim samym rygorystycznym regulacjom jak banki. Jest to jeden z głównych motywów PDS2: umożliwienie tym TPP oferowania opcji płatności oznacza większą elastyczność dla konsumentów. Nie są również powiązane z tą samą starszą infrastrukturą IT, co wiele banków. Ta zwiększona mobilność ma jednak swoją cenę. Jeśli TPP nie wymaga tak dużej sztywności, aby rozpocząć przetwarzanie transakcji, czy to oznacza, że jego bezpieczeństwo jest również mniej rygorystyczne? Skąd konsumenci mają wiedzieć, czy ich nowy dostawca usług płatniczych zarządza bezpieczeństwem ich danych?
3: Definiowanie najlepszych praktyk w PDS2
Po pierwsze, partnerstwa publiczno-prywatne muszą być świadome zagrożeń, na które są narażone. Ataki oszustw, w ramach których szkodliwi użytkownicy tworzą fałszywe pierścienie kont w celu wykorzystania różnych korzyści, wzrosły w ubiegłym roku o 26%, mimo że coraz więcej banków wdraża 2FA i inne rozwiązania w celu zwalczania tych przestępstw. W pewnym stopniu PPT mogą poprawić bezpieczeństwo danych klientów. Mogą udostępniać informacje sobie nawzajem lub bankom, z których API korzystają. TPP z silniejszymi protokołami bezpieczeństwa mają lepszą ofertę sprzedaży dla nowych klientów: uważa się, że dokładnie taki rodzaj konkurencji wywołuje PDS2. Jednocześnie, zanim dojdzie do naruszenia, należy stawić czoła nowym wyzwaniom. Z jednej strony niezbędne jest monitorowanie używanych API. API każdego banku będzie stale weryfikowane, ponieważ wielu TPP będzie na nim polegać przy świadczeniu usług swoim klientom. Interfejsy API utworzone przez zewnętrznych dostawców będą mniej rygorystycznie testowane. W związku z tym SecDevOps staje się strażnikiem między bezpieczeństwem finansowym a nadużyciami hakerów. Istnieje szereg kroków, które każda ze stron może podjąć teraz, aby później zapewnić bezpieczeństwo PSD2. Przede wszystkim należy przeprowadzić inwentaryzację API, które są już w użyciu. Ghost API, czyli interfejsy API, do których programiści przyznali dostęp, a potem o nich zapomnieli, ułatwiają hakowanie punktów wejścia. Usunięcie ich przed wdrożeniem PSD2 toruje drogę do lepszego ogólnego bezpieczeństwa. Na razie detaliści, banki i przyszłe PPT mają ponad rok na dostosowanie się do PSD2. Osiągnięcie tego celu nie oznacza jedynie przestrzegania prawa. Każda instytucja, która chce zapewnić najlepszą jakość usług w nowym środowisku cyfrowym, musi traktować bezpieczeństwo jako priorytet. Na szczęście dla nich ma to sens biznesowy. Konsumenci w naturalny sposób skłaniają się ku firmie, która jest dla nich najważniejsza. Jeśli chodzi o bezpieczeństwo danych finansowych, najlepsze zawsze wyjdzie na wierzch.