Ключови изисквания за сигурност в open banking - как да се справим с тях?

Отвореното банкиране (open banking) се превръща от модерна дума във все по-широкоразпространено направление за традиционните финансовите организации и финтех компаниите. Според PSD2, Европейската директива за платежни услуги, банките мога да предоставят на оторизирани трети страни, доставчици на финансови услуги (финтех организации), достъп до банковите и финансовите данни на своите клиенти. Това означава, че финтех компаниите могат да използват данните на клиентите, стига да покриват изискването за сигурно удостоверяване и оторизация. Open banking представлява крачка напред за финансовия сектор, но в същото време трябва да се има предвид, че данните и идентичността на клиентите трябва да останат с най-висок приоритет.

Очакванията са клиентите да започнат все повече да използват оpen banking услугите, a предоставянето им трябва да бъде сигурно и в същото време гъвкаво. Потребителите от своя страна стават все по-взискателни по отношение на възможността сами да контролират кой има достъп до техните данни и какво може да направи с тях. Този разширен контрол е и предпоставката за повече киберзаплахи. Неоторизираният достъп продължава да бъде главен вектор на атака, което прави сигурността на дигиталните идентичности основен приоритет. Все по-често ставаме свидетели на кражби на дигитални идентичности и сега повече от всякога е важно да се следват добрите практики за силна идентификация на потребителя (strong customer authentication).  С помощта на съвременните платформи за управление на самоличността (identity management) организациите от финансовия сектор могат да създадат потребителско изживяване за клиентите си, което им позволява да контролират кой има достъп до техните данни, като в същото време верифицират, че този достъп е сигурен.

Има три ключови изисквания, които се прилагат за осигуряване на всяка архитектура на екосистемата на оpen banking.

Първото е consent или потвърждение, че потребителят е дал съгласие за споделяне на данните му. Това от своя страна означава, че банките се нуждаят от начин да позволят на потребителите да упълномощават трета страна за достъп до техните данни.

Второто се отнася до така наречения onboarding - идентификацията и верификацията за довереност на третите страни. Банките се нуждаят от начин да удостоверят, че третата страна е тази, за която се представя и може да се предостави достъп до данните от личните акаунти на клиентите.

Третото ключово изискване е относно достъпа до данните (data access). Третите страни се нуждаят от начин за достъп до потребителските данни, а банките се нуждаят от начин да защитят тези данни и да позволят достъпа до тях само и единствено след съгласието на клиента. Тук от изключително значение е възможността да се осигурят отворени APIs, които позволяват данните за клиентските акаунти – транзакции, салда и така нататък – да бъдат споделени сигурно с третата страна.

По същество тези изисквания са средство за установяване както на съгласие, така и на доверие. И трите са ключови за успяха на една open banking екосистема. Тези изисквания могат да бъдат покрити с помощта на решение за управление на самоличността, което позволява сигурно споделяне на потребителски данни в три основни категории: multifactor authentication (многофакторно удостоверяване), съгласие и управление на съгласие, както и защитено предоставяне на данни на отворени APIs. Друго, важно при избор на Identity Management платформа е възможността за risk based authentication, т.е. да позволява оценка на рисковете и прилагане на политики за намаляване на измамите. 

Освен внедряването на Identity Management платформа, друг важен инструмент за обезпечаване на сигурността, особено при open banking е редовното провеждане на пенетрейшън тестовете (Pen Tests). Те спомагат за вземането на превантивни мерки, с които да се избегне реален пробив. В LIREX разбираме важността на пенетрейшън тестовете за финансовия сектор и вече петнайсет години се специализираме в провеждането им, като част от цялостната стратегия за постигане на устойчива сигурност при нашите клиенти.  Благодарение на богатата ни експертиза и познания относно регулациите и процедурите във финансовата индустрия, успешно одитираме и консултираме множество финансови организации.  При провеждане на пентестовете и отидитиране ние включваме нашата експертна интелигентност, гарантираща точност на резултатите и анализ на значимостта им за организацията, както от технически, така и от организационен аспект.

В обобщение, интегрирането на identity management платформа, в комбинация с редовно провеждане на пентестове не просто помагат на организациите от финансовия сектор да покрият изискванията за сигурност при отворено банкиране. Те също така им помагат да предоставят на клиентите си едно оптимално и безпроблемно потребителско преживяване. А потребителите стават все по-взискателни по отношение на защитата и изискват от доставчиците на финансови услуги да им предоставят сигурност и спокойствие, че техните данни са защитени от многобройните кибератаки. В LIREX знаем това и помагаме на клиентите си да постигнат устойчива сигурност, предоставяща нужното спокойствие на техните потребители. Ако искате да получите повече информация и експертна консултация по темата, намерете ни ТУК.